Thomas Moegli
Ing. HES Télécommunications - Réseaux et Sécurité IT
Cisco ASA
1 Cisco ASA - 18 octobre 2015
Cisco ASA
Présentation
2 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Cisco ASA est le firewall Stateful le plus
déployée en entreprise
๏ Analyse du flux complet de trafic avec...
Thomas Moegli
Fonctions ASA
4
Fonction Description
Stateful Firewall
๏ L’ASA propose un service de firewall avec gestion d...
Thomas Moegli
Fonctions ASA
Fonctionnalités avancées
5
Fonction Description
Virtualisation
๏ Une appliance physique peut ê...
Thomas Moegli
๏ Filtrage de paquets
๏ Filtrage Stateful
๏ Filtrage et inspection applicative
๏ Network Address Translation...
Thomas Moegli
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servi...
Thomas Moegli
๏ Le trafic provenant de PC 1 préfère utiliser le chemin passant par ASA-1
๏ ASA-1 et ASA-2 sont des périphé...
Thomas Moegli
Fonctions ASA
Fonctionnalités avancées : Identity Firewall
9
Internet
ASA
Microsoft Active
Directory AD Agen...
Thomas Moegli
๏ Des fonctionnalités IPS peuvent être ajoutés via des modules additionnels
๏ Le module Cisco Advanced Inspe...
Thomas Moegli
ASA 5505
Quelques exemples de produits ASA
11
ASA 5510
ASA 5520, 5540, 5550
ASA 5585
11 Cisco ASA - 18 octob...
Thomas Moegli
Modèles ASA
12
12 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales
๏...
Thomas Moegli
Modèles ASA
ASA 5505 : Présentation (panneau avant)
14
1
2
3
4
5
6
7
Description
1 Interface USB 2.0
2 Indic...
Thomas Moegli
2 : Indicateurs Speed et Link
๏ Si la LED Speed est verte, le lien fonctionne à 100 Mb/s, aucune LED indique...
Thomas Moegli
Modèles ASA
ASA 5505 : Présentation (panneau arrière)
16
Description
1 Alimentation électrique (48 VDC)
2 Sl...
Thomas Moegli
2 : Slot pour extension avec Security Service Card (SSC)
๏ Permet l’ajout d’une carte Cisco Advanced Inspect...
Thomas Moegli
Modèles ASA
ASA 5520 : Présentation
18
Description
1 Slots pour Security Services Modules (SSM)
2 2 ports US...
Thomas Moegli
๏ Les appliances ASA sont pré-installées avec soit :
๏ Une licence de base (Base Licence)
๏ Une licence Secu...
Thomas Moegli
๏ Les clés de licence sont saisies avec la
commande activation-key
๏ Pour voir les licences activées sur l’A...
Thomas Moegli
Licences ASA
Activation
21
ASA# activation-key
ASA# show activation-key
ASA# show version
ASA# show version
...
Thomas Moegli
Licences ASA
Licences partagées et serveur de licence
22
Cisco ASA 5505
Participant
Cisco ASA 5505
Participa...
Thomas Moegli
๏ Le serveur de licence est partagé
๏ Les autres appliances fonctionnent comme participants
๏ Un participant...
Cisco ASA
Terminologie
24 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level...
Thomas Moegli
๏ Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à
la destination
๏ LAN ...
Thomas Moegli
Niveaux de sécurité
27
ASA2# show nameif
Interface Name Security
Vlan4 out 0
Vlan7 dmz 50
Vlan100 inside 100...
Thomas Moegli
Types d’accès
28
Server
inside outside
Internet
Sec-lvl = 0Sec-lvl = 100
Implicit Permit
outbound
Implicit D...
Thomas Moegli
๏ Inside Network
๏ Réseau protégé et placé derrière le firewall
๏ DMZ
๏ Zone démilitarisée, protégée par le ...
Thomas Moegli
๏ Le trafic issu du réseau Outside à destination du réseau Inside est refusé
๏ Le trafic issu du réseau DMZ ...
Thomas Moegli
Le périphérique ASA peut opérer dans un des 2 modes suivants :
Terminologie ASA
Mode Routed vs Transparant
3...
Thomas Moegli
Terminologie ASA
Mode Routed
32
Outside
ASA
E1
E0 E2
DMZ Inside
10.1.1.113
Internet
Web Srv
Inside
10.1.1.0/...
Thomas Moegli
Outside
ASA
E1
E0 E2
DMZ Inside
10.1.1.113
Internet
Web Srv Inside
10.1.1.0/24
DMZ
10.1.3.0/24 Outside
100.1...
Thomas Moegli
๏ Le trafic doit être explicitement autorisé
๏ Chaque réseau directement connecté doit faire partie
du même ...
Thomas Moegli
Les fonctions suivantes ne sont pas supportés en mode Transparent :
๏ NAT
๏ Protocoles de routage dynamiques...
Thomas Moegli
๏ Le mode par défaut est Routed
๏ Utiliser le mode Transparant avec la commande firewall transparent







...
Thomas Moegli
๏ ARP : Address Resolution Protocol
๏ En premier, ajouter une entrée ARP statique. ARP Inspection compare le...
Thomas Moegli
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servi...
Thomas Moegli
๏ Commande de configuration globale : context
Configuration ASA
Création d’un Security Context
39
ASA(config...
Thomas Moegli
Configuration ASA
Changer le Security Context
40
ASA# changeto context customer1
ASA/customer1# show run
: S...
Thomas Moegli
๏ Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients
๏ Coûts réduits,...
Thomas Moegli
Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 :
...
Cisco ASA
Configuration initiale
43 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco
๏ Comme les routeurs I...
Thomas Moegli
ASA CLI
Commandes IOS et équivalents ASA
45
Commande routeur IOS Commande ASA
enable secret password enable ...
Thomas Moegli
Accès au CLI
Connexion par console
46
46 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par déf...
Thomas Moegli
๏ Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet

ASA(config)# ...
Thomas Moegli
๏ Accès Telnet (si requis)
๏ SSH est recommandé plutôt que Telnet
๏ Même si l’authentification est sécurisée...
Thomas Moegli
Etapes
1. Générer une clé RSA : ASA(config)
๏ Sur le ASAv, la clé RSA est automatiquement générée après le d...
Thomas Moegli
Etapes
3. Activer l’authentification locale : ASA(config)
4. Créer un utilisateur dans la base de données lo...
Thomas Moegli
๏ Configuration similaire à Telnet mais requiert :
๏ Authentification AAA à activer
๏ Génération de clés RSA...
Thomas Moegli
๏ En premier, localiser le slot sur lequel le module est installé
Accès au module de service Cisco ASA
(Cisc...
Thomas Moegli
๏ Dans le client web VMware
vSphere, cliquez-droit sur
l’instance ASAv dans l’inventaire
et choisir Open Con...
Thomas Moegli
๏ Il est possible également de configurer un port série dans VMware vSphere
๏ Sur l’ASAv, créez un fichier a...
Thomas Moegli
๏ Interface de management sur les modèles :
๏ L’ASA 5505 ne possède pas d’interface de management
๏ ASA 5506...
Thomas Moegli
๏ Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA ...
Thomas Moegli
๏ Les éléments suivants peuvent être configurés via l’assistant :
๏ Mode du firewall
๏ Mot de passe enable
๏...
Thomas Moegli
…
Pre-configure Firewall now through interactive prompts [yes]?

Firewall Mode [Routed]:

Enable password [<...
Thomas Moegli
๏ Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur ...
Thomas Moegli
Accès ASDM via l’interface Management
Accès ASDM
61
61 Cisco ASA - 18 octobre 2015
Thomas Moegli
Accès ASDM via l’interface Management
Accès ASDM
62
62 Cisco ASA - 18 octobre 2015
Thomas Moegli
Accès ASDM via l’interface Management
Accès ASDM
63
63 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante :

Accès AS...
Thomas Moegli
๏ Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM
๏ ...
Cisco ASA
Opérations de base
66 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Pour configurer le nom d’hôte, utiliser la commande de configuration globale hostname



๏ Pour configurer...
Thomas Moegli
๏ Configurer le mot de passe pour l’authentification distant (Telnet/SSH)

๏ Configurer le mot de passe pour...
Thomas Moegli
๏ La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée
๏ Une « clé unive...
Thomas Moegli
๏ Configuration d’une Master Passphrase :









Opérations de base
Master Pass-Phrase : Configuration
70
...
Thomas Moegli
๏ Pour configurer le fuseau horaire :





Opérations de base
Configuration date et temps
71
ASA(config)# cl...
Thomas Moegli
๏ Configuration manuelle de la date et de l’heure :







Opérations de base
Configuration date et temps
72...
Thomas Moegli
๏ Activer l’authentification NTP :





๏ Configurer le serveur NTP :

๏ Il est possible de configurer plusi...
Thomas Moegli
๏ Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est...
Thomas Moegli
๏ Configuration d’une interface SVI Inside ou Outside dans un VLAN particulier
๏ interface vlan vlan-number ...
Thomas Moegli
๏ Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme :
๏ Client DHCP v...
Thomas Moegli
๏ Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour ...
Thomas Moegli
๏ Les ports Layer 2 doivent être assignées ensuite aux SVI VLAN crées précédemment
๏ Par défaut, tous les po...
Thomas Moegli
Opérations de base
Configuration : Assignation ports L2 aux VLANs
79
CCNAS-ASA# show switch vlan

VLAN Name ...
Thomas Moegli
Configuration de l’ASA comme serveur DHCP
๏ Le nombre maximum de clients DHCP dépend de la licence :
Opérati...
Thomas Moegli
Configuration de l’ASA comme serveur DHCP
๏ Spécifier un pool d’adresses DHCP

๏ Spécifier les options du po...
Thomas Moegli
Opérations de base
Vérification : DHCP
82
CCNAS-ASA# show dhcpd binding


IP address Client Identifier Lease...
Thomas Moegli
๏ Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface
๏ Si configuré de...
Thomas Moegli
๏ Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP...
Thomas Moegli
๏ Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interfa...
Thomas Moegli
๏ Si l’ASA est configuré comme client DHCP ou PPPoE, il est très probable qu’il reçoit sa route par défaut v...
Thomas Moegli
Opérations de base
Vérification des paramètres de base
87
CCNAS-ASA# show switch vlan

VLAN Name Status Port...
Cisco ASA
Introduction à ASDM
88 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la ...
Thomas Moegli
Etapes
1. Vérifier la connectivité avec l’ASA (Ping)
2. Ouvrir un navigateur Web et établir une connexion HT...
Thomas Moegli
๏ La page Home affiche un résumé du status opérationnel de l’ASA. Cette page est rafraichie toutes les 10 se...
Thomas Moegli
๏ La page Firewall affiche des informations de sécurité liées au trafic qui transite par l’ASA
Cisco ASDM
Ta...
Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Device Name/Password
Cisco ASDM
Configuration d’hôte et mot de passe
93
93 ...
Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Interfaces Settings ➔ Interfaces
Cisco ASDM
Configuration des interfaces
94...
Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Interfaces ➔ Switch Ports
Cisco ASDM
Configuration des interfaces L2
95
95 ...
Thomas Moegli
๏ Configuration ➔ Device Management ➔ Management Access ➔ ASDM/HTTPS/Telnet/SSH
Cisco ASDM
Configuration Tel...
Cisco ASA
Objects et Objects Groups
97 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) ...
Thomas Moegli
L’ASA supporte deux types d’objets :
๏ Network Object :
๏ Contient une adresse IP/Masque de sous-réseau
๏ Pe...
Thomas Moegli
๏ Pour créer un Network Object, utiliser la commande de configuration globale object network object-name
๏ O...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
Configuration d’un Network Object (ASDM)
101
1...
Thomas Moegli
๏ Pour créer un Service Object, utiliser la commande de configuration globale object network object-name
๏ O...
Thomas Moegli
Il existe 5 options de service :
๏ Spécifie un nom de protocole IP ou un numéro de port
๏ Spécifie que le Se...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Configuration d’un Service Object (ASDM)
104
1...
Thomas Moegli
๏ Les Objects Groups sont utilisés pour grouper les objets
๏ Les objets peuvent être rattachés ou détachés d...
Thomas Moegli
๏ Il existe 4 types de groupes d’objets :
Objects Groups
106
Object-Group Description
Network Spécifie une l...
Thomas Moegli
๏ Pour configurer un Network Object Group, utiliser la commande
๏ Ajouter les objets réseaux via les command...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
Network Objects Groups (ASDM)
108
108 Cisco AS...
Thomas Moegli
๏ Pour configurer un Protocol Object Group, utiliser la commande de configuration globale :

๏ Ajouter les o...
Thomas Moegli
๏ Pour configurer un ICMP Object Group, utiliser la commande de configuration globale :

๏ Ajouter les objet...
Thomas Moegli
๏ Pour configurer un Service Object Group, utiliser la commande de configuration globale :

๏ Ajouter les ob...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Service Object Group (ASDM)
112
112 Cisco ASA ...
Cisco ASA
ASA ACLs
113 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE
๏ Les ACL sont traitées de manière sé...
Thomas Moegli
๏ Les ACL ASA utilisent un masque de sous-réseau (ex. 255.255.255.0)
๏ Les ACL IOS utilisent un masque Wildc...
Thomas Moegli
๏ Filtrage du trafic transitant par l’ASA
๏ Le trafic qui transite d’une interface à une autre est filtré pa...
Thomas Moegli
๏ L’ASA supporte 5 types d’ACLs :
ACLs
ASA ACLs : Types
117
Type d’ACL Description
Extended
๏ ACL le plus po...
Thomas Moegli
ACLs
ASA ACLs : Applications
118
Utilisation ACL Type d’ACL Description
Gérer le trafic inter-réseaux Extend...
Thomas Moegli
ACLs
Extended ACL : Syntaxe
119
CCNAS-ASA(config)# help access-list
USAGE:
Extended access list:
Use this to...
Thomas Moegli
ACLs
Extended ACL : Syntaxe
120
access-list id extended {deny | permit} protocol
{source_addr source_mask | ...
Thomas Moegli
๏ Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group
๏ Syntax...
Thomas Moegli
๏ L’ACL autorise tous les hôtes du réseau interne à traverser l’ASA
๏ Par défaut, tout autre trafic est refu...
Thomas Moegli
๏ Par défaut, les interfaces avec le même niveau de confiance :
๏ Ne peuvent communiquer entre eux
๏ Les paq...
Thomas Moegli
๏ Pour vérifier la syntaxe des ACL, utiliser les commandes suivantes :
๏
ACLs
Vérification des ACLs
124
show...
Thomas Moegli
๏ PC-A et PC-B sont des hôtes externes qui doivent pouvoir accéder aux deux serveurs internes
๏ Chaque serve...
Thomas Moegli
ACLs
ACL : Exemple 1
126
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server A for HTTP/SMTP
ASA(co...
Thomas Moegli
ACLs
ACL : Exemple 1 (Vérification)
127
ASA# show running-config access-list
access-list ACL-IN remark Permi...
Thomas Moegli
๏ Cet exemple présente l’utilisation des Objects Groups.
๏ La topologie et la configuration des règles est i...
Thomas Moegli
Création des Objects Groups
ACLs
ACL avec Objects Groups : Exemple 2
129
209.165.201.1
PC-A
PC-B
209.165.201...
Thomas Moegli
ACLs
ACL avec Objects Groups : Exemple 2
130
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Access Rules
ACLs
ACL avec ASDM
131
131 Cisco ASA - 18 octobre 2015
Cisco ASA
ASA NAT
132 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants :
๏ Inside NAT
๏ Lorsque l’ASA transl...
Thomas Moegli
๏ NAT est supporté dans les modes Routed et Transparent
๏ Il existe plusieurs restrictions pour le mode Tran...
Thomas Moegli
๏ En mode Routed, il est possible d’effectuer de la translation entre IPv4 et IPv6
๏ Un pool PAT n’est pas s...
Thomas Moegli
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
209.165.201.2
PC-B
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
...
Thomas Moegli
๏ Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi ...
Thomas Moegli
๏ L’ASA sépare la configuration NAT en deux sections :
๏ La première section définit le réseau à translater ...
Thomas Moegli
๏ Dynamic NAT
๏ Translation Many-to-Many
๏ Typiquement déployé dans Inside NAT
๏ Dynamic PAT
๏ Translation M...
Thomas Moegli
Pour configurer Dynamic NAT, deux Network Objects sont requis :
๏ Le premier Network Object identifie le poo...
Thomas Moegli
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.1...
Thomas Moegli
Pour configurer Dynamic PAT, un Network Object est requis :
๏ Dynamic PAT est utilisé lorsqu’on utilise la m...
Thomas Moegli
Configuration : Dynamic PAT
143
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.16...
Thomas Moegli
Configuration : Dynamic PAT
144
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.16...
Thomas Moegli
Pour configurer Static NAT, un Network Object est requis :
๏ Static NAT permet de faire correspondre une adr...
Thomas Moegli
Configuration : Static NAT
146
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168...
Thomas Moegli
Vérification : Static NAT
147
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168....
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
๏ La création d’un Network Object se fait via ...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
๏ S’effectue lors de la création du Network Ob...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
๏ S’effectue lors de la création du Network Ob...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ NAT Rules
Configuration NAT sur ASDM
Vérification des règles NAT
151
151 Cisco ...
Cisco ASA
AAA
152 Cisco ASA - 18 octobre 2015
Thomas Moegli
AccountingAuthorizationAuthentication
AAA
153
153 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans uti...
Thomas Moegli
Authentification AAA locale
๏ Local AAA utilise une base de données locale pour l’authentification
๏ La base...
Thomas Moegli
๏ Authentification AAA avec serveur dédié
๏ L’authentification AAA basé sur un serveur dédié est une solutio...
Thomas Moegli
๏ Configuration de l’authentification AAA via un serveur TACACS+ ainsi qu’une authentification locale
๏ L’au...
Thomas Moegli
๏ Se déconnecter puis se reconnecter
๏ Commandes de vérification :
๏ show running-conf username : Commande p...
Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ Users Accounts
๏ L’ajout d’utilisateurs se fait via le bou...
Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups
๏ La création d’un groupe se fait dans l...
Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups
๏ La création d’un groupe se fait dans l...
Thomas Moegli
๏ Configuration ➔ Firewall ➔ Users/AAA ➔ AAA Access ➔ Authentication
Configuration AAA via ASDM
Activation d...
Cisco ASA
Modular Policy Framework (MPF)
163 Cisco ASA - 18 octobre 2015
Thomas Moegli
๏ MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic e...
Thomas Moegli
Class Maps
• Qu’est ce qu’on
analyse ?
• Identifie le trafic sur
lequel appliquer MPF
• Création d’une Class...
Thomas Moegli
๏ Configuration d’une ACL Extended pour identifier le trafic
๏ Configurer la Class Map pour identifier le tr...
Thomas Moegli
๏ Une Class Map permet d’identifier le trafic de couche 3 et couche 4
๏ Pour créer une Class Map, utiliser l...
Thomas Moegli
๏ En mode de configuration Class Maps, les options de configuration sont :
๏ description : Ajout d’une descr...
Thomas Moegli
๏ Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action
๏ Etapes
๏ Utilisa...
Thomas Moegli
๏ Pour afficher les informations sur une configuration Policy Map, utiliser la commande :

show running-conf...
Thomas Moegli
๏ Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Se...
Thomas Moegli
๏ Pour afficher la configuration des Service Policies, utiliser la commande show service-policy ou 

show ru...
Thomas Moegli
๏ MPF propose trois paramètres par défaut :
๏ Default Class map
๏ Default Policy map
๏ Default Service polic...
Thomas Moegli
๏ La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy...
Thomas Moegli
๏ Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précéde...
Cisco ASA
Cisco ASA
Cisco ASA
Prochain SlideShare
Chargement dans…5
×

Cisco ASA

4 956 vues

Publié le

Présentation de l'architecture des pare-feux Cisco ASA
Architecture, Implémentation, Configuration

Publié dans : Ingénierie
2 commentaires
5 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
4 956
Sur SlideShare
0
Issues des intégrations
0
Intégrations
19
Actions
Partages
0
Téléchargements
728
Commentaires
2
J’aime
5
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cisco ASA

  1. 1. Thomas Moegli Ing. HES Télécommunications - Réseaux et Sécurité IT Cisco ASA 1 Cisco ASA - 18 octobre 2015
  2. 2. Cisco ASA Présentation 2 Cisco ASA - 18 octobre 2015
  3. 3. Thomas Moegli ๏ Cisco ASA est le firewall Stateful le plus déployée en entreprise ๏ Analyse du flux complet de trafic avec la fonction Cisco Application Visibility and Control (AVC) ๏ FirePOWER Next-Generation IPS (NGIPS) ๏ Filtrage URL par réputation et par catégorie ๏ Fonctionnalités de VPN Introduction à Cisco ASA 3 Cisco ASA 3 Cisco ASA - 18 octobre 2015
  4. 4. Thomas Moegli Fonctions ASA 4 Fonction Description Stateful Firewall ๏ L’ASA propose un service de firewall avec gestion des états TCP ou UDP pour les connexions qui transitent par lui ๏ Seuls les paquets qui correspondent à une connexion active sont autorisées par le firewall, les autres sont rejetés VPN Concentrator ๏ L’ASA supporte les connexions IPsec et SSL en Remote Access et les connexions VPN Site-to-Site Intrusion Prevention ๏ Tous les modèles ASA supportent des fonctionnalités basiques d’IPS ๏ Des analyses plus détaillées peuvent être implémentés en ajoutant une carte ou un module d’extension Cisco Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) 4 Cisco ASA - 18 octobre 2015
  5. 5. Thomas Moegli Fonctions ASA Fonctionnalités avancées 5 Fonction Description Virtualisation ๏ Une appliance physique peut être partition en plusieurs instances virtuelles appelés contextes de sécurité (Security Contexts) ๏ Chaque contexte est considéré comme un périphérique indépendant, avec ses propres règles, interfaces et administrateurs ๏ La plupart des fonctionnalités IPS sont supportées excepté VPN et les protocoles de routage dynamiques Haute disponibilité ๏ Deux ASA peuvent être reliés dans un mode de fonctionnement Active/Standby pour permettre la redondance d’équipements et ala tolérance de pannes ๏ Un ASA est promu comme périphérique primaire (Active) tandis que l’autre est mis en mode StandBy ๏ Le software, les licences, la mémoire et les interfaces doivent être identiques sur les deux ASA Identity Firewall ๏ L’ASA permet un contrôle d’accès en utilisant les informations d’authentification d’un annuaire Active Directory ๏ Permet de créer des règles permettant des utilisateurs ou groupes d’utilisateurs au lieu de règles traditionnels basées sur les adresses IP Threat Control ๏ En plus des fonctions IPS, des outils anti-malware et gestion des risques peuvent être ajoutés via le module Content Security and Control (CSC) 5 Cisco ASA - 18 octobre 2015
  6. 6. Thomas Moegli ๏ Filtrage de paquets ๏ Filtrage Stateful ๏ Filtrage et inspection applicative ๏ Network Address Translation (NAT) ๏ DHCP ๏ Routage ๏ Implémentation Layer 3 ou Layer 2 Fonctions ASA Résumé 6 ๏ Support VPN ๏ Groupe d’objets (Object groups) ๏ Filtrage du trafic de botnets ๏ Haute disponibilité ๏ Support AAA 6 Cisco ASA - 18 octobre 2015
  7. 7. Thomas Moegli ๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par exemple trois clients différents Fonctions ASA Fonctionnalités avancées : Virtualisation 7 Internet Périphérique ASA Security Context A Security Context B Security Context C Customer 1 Customer 2 Customer 3 7 Cisco ASA - 18 octobre 2015
  8. 8. Thomas Moegli ๏ Le trafic provenant de PC 1 préfère utiliser le chemin passant par ASA-1 ๏ ASA-1 et ASA-2 sont des périphériques identiques configurés pour la redondance. Chaque équipement surveille l’activité de l’autre via le lien LAN Failover ๏ Si ASA-2 détecte que ASA-1 est défaillant, alors ASA-2 devient périphérique Primary/Active et le trafic est redirigé par lui. Fonctions ASA Fonctionnalités avancées : Haute disponibilité 8 Internet ASA-1 Primary/Active PC-A 10.2.2.0/30 .1 .2 10.1.1.0/29 .3 .1 .2 192.168.1.0/24.1 .2 ASA-2 Secondary/Standby LAN Failover 8 Cisco ASA - 18 octobre 2015
  9. 9. Thomas Moegli Fonctions ASA Fonctionnalités avancées : Identity Firewall 9 Internet ASA Microsoft Active Directory AD Agent ServerClient ๏ Un client qui tente d’accéder à des ressources sur un serveur doit d’abord s’authentifier en utilisant Microsoft Active Directory 9 Cisco ASA - 18 octobre 2015
  10. 10. Thomas Moegli ๏ Des fonctionnalités IPS peuvent être ajoutés via des modules additionnels ๏ Le module Cisco Advanced Inspection and Prevention Security Services Modules (AIP-SSM) peut être utilisé sur le périphérique ASA 5540 ๏ Le module Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) peut être utilisé pour le périphérique ASA 5505 Fonctions ASA Fonctionnalités avancées : IDS/IPS 10 10 Cisco ASA - 18 octobre 2015
  11. 11. Thomas Moegli ASA 5505 Quelques exemples de produits ASA 11 ASA 5510 ASA 5520, 5540, 5550 ASA 5585 11 Cisco ASA - 18 octobre 2015
  12. 12. Thomas Moegli Modèles ASA 12 12 Cisco ASA - 18 octobre 2015
  13. 13. Thomas Moegli ๏ Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales ๏ Il comporte un pare-feu haute performance, SSL VPN, IPsec VPN et plusieurs services réseaux dans une même appliance. Modèles ASA ASA 5505 13 13 Cisco ASA - 18 octobre 2015
  14. 14. Thomas Moegli Modèles ASA ASA 5505 : Présentation (panneau avant) 14 1 2 3 4 5 6 7 Description 1 Interface USB 2.0 2 Indicateurs Speed et Link 3 Indicateur d’alimentation (Power) 4 Indicateur de status Description 5 Indicateur Active 6 Indicateur VPN 7 Indicateur Security Service Card (SSC) 14 Cisco ASA - 18 octobre 2015
  15. 15. Thomas Moegli 2 : Indicateurs Speed et Link ๏ Si la LED Speed est verte, le lien fonctionne à 100 Mb/s, aucune LED indique 10 Mb/s ๏ Si la LED Activity est verte, le lien réseau est établi et fonctionnel ๏ Si la LED Activity clignote, cela signifie de l’activité réseau 4 : Status LED ๏ Un indicateur vert clignotant indique que le système démarre et effectue le POST ๏ Un indicateur vert fixe indique que le système a passé les tests et qu’il est opérationnel ๏ Un indicateur orange indique des problèmes sur le système 5 : Active LED ๏ Un indicateur vert fixe indique que le Cisco ASA est configuré pour la tolérance de panne 6 : VPN LED ๏ Un indicateur vert fixe indique qu’un ou plusieurs tunnels VPN sont actifs 7 : Security Services Card (SSC) LED ๏ Un indicateur vert fixe indique qu’une carte SSC est présent dans le slot SSC Modèles ASA ASA 5505 : Présentation (panneau avant) 15 1 2 3 4 5 6 7 15 Cisco ASA - 18 octobre 2015
  16. 16. Thomas Moegli Modèles ASA ASA 5505 : Présentation (panneau arrière) 16 Description 1 Alimentation électrique (48 VDC) 2 Slot pour Security Services Card (SSC) 3 Port Console série 4 Slot pour câble anti-vol (Kensington) Description 5 Bouton de réinitialisation (Reset) 6 2 ports USB 2.0 7 Ports Ethernet 10/100 (ports 0 - 5) 8 Ports PoE (Power of Ethernet) 10/100 (ports 6 et 7) 1 2 3 4 5 678 16 Cisco ASA - 18 octobre 2015
  17. 17. Thomas Moegli 2 : Slot pour extension avec Security Service Card (SSC) ๏ Permet l’ajout d’une carte Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) pour installer les services de prévention d’intrusion 6 : Ports USB pour l’installation de services additionnels 7 : 8 Ports Switch Ethernet 10/100 ๏ Chaque port peut être groupé pour créer jusqu’à 3 VLAN séparés 8 : Les ports 6 et 7 sont PoE et simplifient le déploiement de téléphones IP Cisco ou points d’accès WiFi Modèles ASA ASA 5505 : Présentation (panneau arrière) 17 1 2 3 4 5 678 17 Cisco ASA - 18 octobre 2015
  18. 18. Thomas Moegli Modèles ASA ASA 5520 : Présentation 18 Description 1 Slots pour Security Services Modules (SSM) 2 2 ports USB 2.0 3 Interface de management Out of Band (OOB) 4 4 ports FastEthernet Description 5 Slot pour carte Flash 6 Indicateurs LED Power, Status, Active, VPN, Flash 7 Port Console série 8 Port auxiliaire 1 3 2 4 5 6 7 8 18 Cisco ASA - 18 octobre 2015
  19. 19. Thomas Moegli ๏ Les appliances ASA sont pré-installées avec soit : ๏ Une licence de base (Base Licence) ๏ Une licence Security Plus ๏ Les licences peuvent être perpétuelles ou à durée limitée (time-based) ๏ Souvent, les licences à durée limitée sont utilisés pour des produits qui nécessitent un abonnement pour obtenir les mises à jour (Botnet Inspection par ex.) Licences ASA 19 19 Cisco ASA - 18 octobre 2015
  20. 20. Thomas Moegli ๏ Les clés de licence sont saisies avec la commande activation-key ๏ Pour voir les licences activées sur l’ASA, il faut entrer : ๏ show activation-key ๏ show-version Licences ASA Activation 20 ASA# activation-key ASA# show activation-key ASA# show version ASA# activation-key 682fd277 c4874bb7 f533b52c c660c844 8422d892 ASA# show activation-key Serial Number: JMX1316M41H Running Activation Key: 0x2174cf47 0x945b4c3a 0x74159120 0xba2ca848 0x8f602feb Licensed features for this platform: Maximum Physical Interfaces : 8 VLANs : 3, DMZ Restricted Inside Hosts : 10 Failover : Disabled VPN-DES : Enabled VPN-3DES-AES : Enabled VPN Peers : 10 WebVPN Peers : 2 Dual ISPs : Disabled VLAN Trunk Ports : 0 AnyConnect for Mobile : Disabled AnyConnect for Linksys phone : Disabled Advanced Endpoint Assessment : Disabled UC Proxy Sessions : 2 This platform has a Base license. The flash activation key is the SAME as the running key. 20 Cisco ASA - 18 octobre 2015
  21. 21. Thomas Moegli Licences ASA Activation 21 ASA# activation-key ASA# show activation-key ASA# show version ASA# show version
 <Output omitted> Licensed features for this platform: Maximum Physical Interfaces : 8 perpetual VLANs : 3 DMZ Restricted Dual ISPs : Disabled perpetual VLAN Trunk Ports : 0 perpetual Inside Hosts : 10 perpetual Failover : Disabled perpetual VPN-DES : Enabled perpetual VPN-3DES-AES : Enabled perpetual AnyConnect Premium Peers : 2 perpetual AnyConnect Essentials : Disabled perpetual Other VPN Peers : 10 perpetual Total VPN Peers : 25 perpetual Shared License : Disabled perpetual AnyConnect for Mobile : Disabled perpetual AnyConnect for Cisco VPN Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual This platform has a Base license. Serial Number: JMX15364077 Running Permanent Activation Key: 0x970bc671 0x305fc569 0x70d21158 0xb6ec2ca8 0x8a003fb9 Configuration register is 0x41 (will be 0x1 at next reload) Configuration last modified by enable_15 at 10:03:12.749 UTC Fri Sep 23 2011 21 Cisco ASA - 18 octobre 2015
  22. 22. Thomas Moegli Licences ASA Licences partagées et serveur de licence 22 Cisco ASA 5505 Participant Cisco ASA 5505 Participant and Backup Licence Server Cisco ASA 5505 Licence Server Lausanne Zürich Genève 22 Cisco ASA - 18 octobre 2015
  23. 23. Thomas Moegli ๏ Le serveur de licence est partagé ๏ Les autres appliances fonctionnent comme participants ๏ Un participant peut être configuré comme serveur de licence de secours (Backup License Server) ๏ Un seul participant peut être serveur de secours ๏ Les licences sont distribuées aux participants par blocs de 50 licences ๏ Le participant va demander un nouveau bloc de 50 si le nombre actuel de licences restantes dans le bloc actuel est inférieur à 10 unités. ๏ Les licences sont renvoyées sur le serveur de licences si Licences ASA Licences partagées et serveur de licence 23 23 Cisco ASA - 18 octobre 2015
  24. 24. Cisco ASA Terminologie 24 Cisco ASA - 18 octobre 2015
  25. 25. Thomas Moegli ๏ Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level) ๏ Le niveau de sécurité définit la confiance accordée à une interface (ou plusieurs interfaces dans le cas de l’ASA 5505) ๏ Plus le niveau est élevé, plus la confiance accordée est importante ๏ Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100 (confiance totale) ๏ Chaque interface opérationnelle doit avoir : ๏ Un nom ๏ Un niveau de sécurité entre 0 et 100 ๏ Une adresse IP (si on place l’ASA en mode Routed) ๏ Par défaut : ๏ Toute interface nommée inside se verra automatiquement attribué un niveau de sécurité = 100 ๏ Toute interface nommée outside se verra automatiquement attribué un niveau de sécurité = 0 Niveaux de sécurité ASA 25 25 Cisco ASA - 18 octobre 2015
  26. 26. Thomas Moegli ๏ Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à la destination ๏ LAN ➔ WAN autorisé (car LAN = 100 > WAN = 0) ๏ WAN ➔ DMZ interdit (car WAN = 0 < DMZ = 50) ๏ Pour la DMZ, il est nécessaire d’ajouter des règles autorisant 
 un trafic précis depuis le WAN ๏ L’autorisation du trafic de retour se fait automatiquement grâce à la 
 fonction Statefull Inspection du Cisco ASA ๏ Si deux interfaces ont même niveau de confiance, la configuration par défaut d’ASA fait qu’ils ne peuvent communiquer Niveaux de sécurité ASA 26 DMZ 192.168.10.0/24 LAN 192.168.1.0/24 WAN Security Level : 50 Security Level : 100 Security Level : 0 26 Cisco ASA - 18 octobre 2015
  27. 27. Thomas Moegli Niveaux de sécurité 27 ASA2# show nameif Interface Name Security Vlan4 out 0 Vlan7 dmz 50 Vlan100 inside 100 27 Cisco ASA - 18 octobre 2015
  28. 28. Thomas Moegli Types d’accès 28 Server inside outside Internet Sec-lvl = 0Sec-lvl = 100 Implicit Permit outbound Implicit Deny inbound dmz p1 Sec-lvl = 50 Permit Inbound through ACL p2 Permit Inbound through ACL Sec-lvl = 0 Sec-lvl = 0 Implicit deny between 02 partner interfaces 28 Cisco ASA - 18 octobre 2015
  29. 29. Thomas Moegli ๏ Inside Network ๏ Réseau protégé et placé derrière le firewall ๏ DMZ ๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles par les clients (Visibilité limitée) ๏ Outside network ๏ Réseau en dehors de la protection du firewall Terminologie ASA 29 29 Cisco ASA - 18 octobre 2015
  30. 30. Thomas Moegli ๏ Le trafic issu du réseau Outside à destination du réseau Inside est refusé ๏ Le trafic issu du réseau DMZ à destination du réseau Inside est refusé Terminologie ASA 30 Outside ASA E1 E0 E2 DMZ Inside Clients Internet Web Srv 30 Cisco ASA - 18 octobre 2015
  31. 31. Thomas Moegli Le périphérique ASA peut opérer dans un des 2 modes suivants : Terminologie ASA Mode Routed vs Transparant 31 ASA 10.2.1.0/24 10.1.1.0/24 10.1.1.1 10.2.1.1 10.1.1.0/29 .1 .2 ASA 10.1.1.3 ๏ Mode Transparent ๏ Opère sur la couche 2 ๏ S’intègre sur les réseaux existants sans devoir redéfinir l’adressage IP ๏ Simplifie le filtrage interne et la segmentation des réseaux ๏ Permet la protection et le filtrage sur un même sous-réseau ๏ Mode Routed (par défaut) ๏ Mode de déploiement traditionnel pour un firewall ๏ Sépare deux domaines de couche 3 ๏ Permet également la configuration NAT ๏ Applique les règles aux flux de trafic qui transitent par ce firewall
 Ne permet pas le filtrage de paquets entre deux hôtes du même sous-réseau 31 Cisco ASA - 18 octobre 2015
  32. 32. Thomas Moegli Terminologie ASA Mode Routed 32 Outside ASA E1 E0 E2 DMZ Inside 10.1.1.113 Internet Web Srv Inside 10.1.1.0/24 DMZ 10.1.3.0/24 Outside 100.1.2.0/24 Source NAT 10.1.1.113 ➔ 100.1.2.3 10.1.3.3 32 Cisco ASA - 18 octobre 2015
  33. 33. Thomas Moegli Outside ASA E1 E0 E2 DMZ Inside 10.1.1.113 Internet Web Srv Inside 10.1.1.0/24 DMZ 10.1.3.0/24 Outside 100.1.2.0/24 Destination NAT (Statique) 10.1.1.113 ➔ 100.1.2.3 Terminologie ASA Mode Routed 33 10.1.3.3 100.1.2.3 ➔ 10.1.3.3 33 Cisco ASA - 18 octobre 2015
  34. 34. Thomas Moegli ๏ Le trafic doit être explicitement autorisé ๏ Chaque réseau directement connecté doit faire partie du même sous-réseau ๏ L’adresse IP de management doit être également sur le même sous-réseau ๏ NE PAS spécifier l’adresse IP de l’interface de management comme passerelle par défaut ๏ Les périphériques doivent indiquer le routeur comme passerelle par défaut ๏ Chaque interface doit être sur une interface VLAN différente Terminologie ASA Mode Transparant 34 Outside ASA E0 E2 Inside 10.1.1.113 Internet Inside Management .199 10.1.1.0/24 Outside 34 Cisco ASA - 18 octobre 2015
  35. 35. Thomas Moegli Les fonctions suivantes ne sont pas supportés en mode Transparent : ๏ NAT ๏ Protocoles de routage dynamiques ๏ Routage multicast ๏ Pas de support d’adresses IPv6 Anycast ๏ DHCP Relay ๏ Qualité de service (QoS) ๏ Point de terminaison VPN Terminologie ASA Mode Transparant 35 35 Cisco ASA - 18 octobre 2015
  36. 36. Thomas Moegli ๏ Le mode par défaut est Routed ๏ Utiliser le mode Transparant avec la commande firewall transparent
 
 
 
 ๏ Pour revenir au mode Routed, utiliser la commande no firewall transparent Configuration ASA Configurer le mode de fonctionnement 36 ASA(config)# firewall transparent Switched to transparent mode ASA# show firewall Firewall mode : Transparent ASA(config)# no firewall transparent Switched to router mode ASA# show firewall Firewall mode : Router 36 Cisco ASA - 18 octobre 2015
  37. 37. Thomas Moegli ๏ ARP : Address Resolution Protocol ๏ En premier, ajouter une entrée ARP statique. ARP Inspection compare les paquets ARP avec les entrées ARP de la table ARP
 arp outside 10.1.1.99 934903248 ๏ Activer ARP Inspection avec la commande suivante :
 lkfjdlksfjdslfkj Configuration ASA Mode Transparent : Configurer ARP Inspection 37 ASA(config)# arp outside 10.1.1.99 0001.5c32.6c81 ASA(config)# arp-inspection outside enable no-flood 37 Cisco ASA - 18 octobre 2015
  38. 38. Thomas Moegli ๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par exemple trois clients différents Security Context 38 Internet Périphérique ASA Security Context A Security Context B Security Context C Customer 1 Customer 2 Customer 3 38 Cisco ASA - 18 octobre 2015
  39. 39. Thomas Moegli ๏ Commande de configuration globale : context Configuration ASA Création d’un Security Context 39 ASA(config)# context customer1 Creating context ‘customer1’...Done (4) ASA(config-ctx)# description customer 1 context ASA(config-ctx)# ASA(config-ctx)# allocate-interface gigabitethernet0/1.101 int1 ASA(config-ctx)# allocate-interface gigabitethernet0/1.102 int2 ASA(config-ctx)# ASA(config-ctx)# config-url disk0:context1.cfg INFO: Converting disk0:context1.cfg to disk0/context1.cfg WARNING: Could not fetch the URL disk0:/context1.cfg INFO: Creating context with default config ASA(config)# context nom-contexte 39 Cisco ASA - 18 octobre 2015
  40. 40. Thomas Moegli Configuration ASA Changer le Security Context 40 ASA# changeto context customer1 ASA/customer1# show run : Saved : ASA Version 9.1(3) <context> ! hostname customer1 enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface int 1 no nameif no security-level no ip address ! interface int2 no nameif no security-level no ip address 40 Cisco ASA - 18 octobre 2015
  41. 41. Thomas Moegli ๏ Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients ๏ Coûts réduits, réduction des équipements physiques tout en offrant une séparation de trafic entre clients ๏ Grande entreprise ou campus qui désire séparer les départements (Segmentation) ๏ Toute organisation qui désire que son réseau soit sécurisée par plus d’un ASA Security Context : Cas d’utilisation 41 41 Cisco ASA - 18 octobre 2015
  42. 42. Thomas Moegli Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 : ๏ Protocoles de routage dynamiques ๏ EIGRP ๏ OSPFv2 ๏ VPN ๏ IKE v1 ๏ IKEv2 Site-to-Site VPN ๏ Mélanges de modes de firewall ๏ Avant la version 9.0, tous les contextes devaient être configurés en mode Transparent ou Routed ๏ Après la version 9.0, il est possible de mélanger des contexts en mode Transparent avec des contexts en mode Routed Security Context : Fonctions 42 42 Cisco ASA - 18 octobre 2015
  43. 43. Cisco ASA Configuration initiale 43 Cisco ASA - 18 octobre 2015
  44. 44. Thomas Moegli ๏ Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco ๏ Comme les routeurs IOS Cisco, l’ASA reconnait les éléments suivants : ๏ Abréviation des commandes et mots-clés ๏ Utilisation de la touche Tab pour compléter une commande partielle ๏ Utilisation de la touche (?) pour voir la syntaxe ๏ Contrairement aux routeurs IOS, l’ASA : ๏ Permet d’exécuter n’importe quelle commande ASA quel que soit le mode de configuration affiché et ne reconnait pas la commande do utilisé en mode de configuration globale sur les routeurs IOS ๏ L’interruption des commandes show se fait via la touche Q (contrairement à la séquence Ctrl+C utilisé sur les routeurs IOS) ASA CLI 44 44 Cisco ASA - 18 octobre 2015
  45. 45. Thomas Moegli ASA CLI Commandes IOS et équivalents ASA 45 Commande routeur IOS Commande ASA enable secret password enable password password line con 0
 password password
 login passwd password ip route route outside show ip interfaces brief show interface ip brief show ip route show route show plan show switch vlan show ip nat translations show xlate copy running-config startup-config write [memory] erase startup-config write erase 45 Cisco ASA - 18 octobre 2015
  46. 46. Thomas Moegli Accès au CLI Connexion par console 46 46 Cisco ASA - 18 octobre 2015
  47. 47. Thomas Moegli ๏ Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par défaut pour permettre la connectivité IP ๏ La configuration par défaut sur un Cisco ASA 5510 ou plus possède une interface de management activée avec l’adresse IP 192.168.1.1 pré-configurée ๏ Sur un Cisco ASA 5505, les interfaces switch (Ethernet0/0 - 0/7) sont actives. ๏ L’interface Ethernet0/0 est assignée au VLAN2, qui est supposée être l’interface associée au réseau Outside. ๏ Toutes les autres interfaces sont assignées au VLAN1 et sont considérés comme interfaces Inside. ๏ Le VLAN1 possède une adresse IP préconfigurée de 192.168.1.1/24 tandis que le VLAN2 est préconfigurée comme client DHCP et reçoit une adresse IP dynamique. Accès au CLI Connexion par console 47 47 Cisco ASA - 18 octobre 2015
  48. 48. Thomas Moegli ๏ Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet
 ASA(config)# telnet 10.1.1.0 255.255.255.0 inside ๏ IMPORTANT
 Telnet est un protocole non sécurisé. Il est recommandé d’utiliser SSH pour gérer le Cisco ASA ou tout autre périphérique.
 Accès au CLI Connexion par Telnet 48 ASA(config)# telnet 10.1.1.0 255.255.255.0 inside 48 Cisco ASA - 18 octobre 2015
  49. 49. Thomas Moegli ๏ Accès Telnet (si requis) ๏ SSH est recommandé plutôt que Telnet ๏ Même si l’authentification est sécurisée via la commande passwd, sécuriser l’accès Telnet/SSH via une authentification AAA avec une base de données locale est recommandée ๏ Utiliser les commandes suivantes pour activer l’authentification AAA : ๏ username name password password ๏ aaa authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server} ๏ telnet host-ip host-mask inside ๏ telnet timeout minutes Accès au CLI Configuration : Telnet 49 ASA(config)# username name password password ASA(config)# aaa authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server} ASA(config)# telnet host-ip host-mask inside ASA(config)# telnet timeout minutes ASA(config)# username admin password class ASA(config)# aaa authentication telnet console LOCAL ASA(config)# telnet 192.168.1.3 255.255.255.255 inside ASA(config)# telnet timeout 10 ASA(config)# passwd 49 Cisco ASA - 18 octobre 2015
  50. 50. Thomas Moegli Etapes 1. Générer une clé RSA : ASA(config) ๏ Sur le ASAv, la clé RSA est automatiquement générée après le déploiement ๏ La valeur modulus (en bits) doit être 512, 768, 1024 ou 2048 ๏ Plus le modulus est grand, plus la clé sera difficile à décrypter mais plus le temps pour la générer sera importante 2. Sauvegarder la clé RSA et la configuration avec la commande d’enregistrement mémoire :
 write mem Accès au CLI Connexion par SSH 50 ASA(config)# crypto key generate rsa modulus 1024 ASA# write mem 50 Cisco ASA - 18 octobre 2015
  51. 51. Thomas Moegli Etapes 3. Activer l’authentification locale : ASA(config) 4. Créer un utilisateur dans la base de données locale : 5. Identifier les adresses IP sur lesquelles ASA accepte les connexions SSH :
 ๏ Il est possible de limiter l’accès à une version de SSH particulière (v1 ou v2). Par défaut, SSH accepte les deux versions
 Accès au CLI Connexion par SSH 51 ASA(config)# aaa authentication ssh console LOCAL ASA(config)# username admin password sUp3rScrTP4$$ ASA(config)# ssh 10.1.1.0 255.255.255.0 inside ASA(config)# ssh version 2 51 Cisco ASA - 18 octobre 2015
  52. 52. Thomas Moegli ๏ Configuration similaire à Telnet mais requiert : ๏ Authentification AAA à activer ๏ Génération de clés RSA ๏ Pour vérifier la configuration SSH, utiliser la commande show ssh Opérations de base Configuration : SSH 52 ASA(config)# username admin password class ASA(config)# aaa authentication ssh console LOCAL ASA(config)# crypto key generate rss modulus 1024 WARNING: You have a RSA keypair already defined named <Default-RSA-Key>. Do you really want to replace them? [yes/no]: y
 Keypair generation process begin. Please wait... CCNAS-ASA(config)# ssh 192.168.1.3 255.255.255.255 inside CCNAS-ASA(config)# ssh timeout 10
 CCNAS-ASA(config)# exit
 CCNAS-ASA#
 CCNAS-ASA# show ssh
 Timeout: 5 minutes
 Versions allowed: 1 and 2
 192.168.1.3 255.255.255.255 inside
 CCNAS-ASA# 52 Cisco ASA - 18 octobre 2015
  53. 53. Thomas Moegli ๏ En premier, localiser le slot sur lequel le module est installé Accès au module de service Cisco ASA (Cisco ASA-SM) 53 Switch# show module Mod Ports Card Type Model Serial No. --- ----- ------------------------------------ ------------------- ----------- 2 3 ASA Service Module WS-SVC-ASA-SM1 SAD18372221 Mod MAC addresses Hw Fw Sw Status --- —————————————————————————————————————- ----- ------------ ------------ ------- 2 0022.bdd4.016f to 0022.bdd4.017e 0.201 12.2(2010080 12.2(2010121 Ok ... ๏ Utiliser la commande service-module session pour se connecter depuis le switch sur le module ASA-SM Switch# service-module session slot 2 ASA> Sw# service-module session 53 Cisco ASA - 18 octobre 2015
  54. 54. Thomas Moegli ๏ Dans le client web VMware vSphere, cliquez-droit sur l’instance ASAv dans l’inventaire et choisir Open Console ๏ Ou sélectionnez l’instance et ouvrez l’onglet Console Accès à la console ASAv 54 54 Cisco ASA - 18 octobre 2015
  55. 55. Thomas Moegli ๏ Il est possible également de configurer un port série dans VMware vSphere ๏ Sur l’ASAv, créez un fichier appelé use_ttyS0 dans le répertoire racine du disk0. .Ce fichier ne doit pas avoir de contenu, il doit simplement exister à l’emplacement suivant :
 disk0:/use_ttyS0 ๏ Depuis ASDL, il est possible de charger un fichier texte vide en utilisant Tools ➔ File Management. L’accès ASDM est discuté plus loin ๏ Sur la CLI, il est possible de copier un fichier existant et de le coller avec un nouveau nom. Par exemple :
 (config)# 
 asdasd ๏ Rechargez ensuite l’ASAv Accès à la console ASAv 55 ASAv# cd coredumpinfo ASAv# copy coredumpinfo.cfg disk0:/use_ttyS0 disk0:/use_ttyS0 use_ttyS0 disk0 55 Cisco ASA - 18 octobre 2015
  56. 56. Thomas Moegli ๏ Interface de management sur les modèles : ๏ L’ASA 5505 ne possède pas d’interface de management ๏ ASA 5506 : Management 1/1 ๏ ASA 5512-X et plus : Management 0/0 ๏ ASAv : Management 0/0 ๏ Par défaut, l’adresse IP de l’interface de management : ๏ Appliances physiques : 192.168.1.1 ๏ ASAv : configuré par l’administrateur lors du déploiement Accès ASDM via l’interface Management 56 56 Cisco ASA - 18 octobre 2015
  57. 57. Thomas Moegli ๏ Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA via les commandes write erase et reload ๏ L’ASA ne reconnait pas la commande erase startup-config utilisé sur les routeurs IOS ๏ Une fois l’ASA redémarré, l’assistant de configuration initiale propose de configurer les éléments essentiels de l’ASA ๏ Cette méthode est optionnel, l’utilisateur peut répondre no pour ne pas utiliser l’assistant ๏ Cette méthode configure également les éléments essentiels pour l’accès à l’ASA via ASDM ASA CLI Assistant de configuration initiale 57 write erase reload erase startup-config 57 Cisco ASA - 18 octobre 2015
  58. 58. Thomas Moegli ๏ Les éléments suivants peuvent être configurés via l’assistant : ๏ Mode du firewall ๏ Mot de passe enable ๏ Méthode de recouvrement du mot de passe enable ๏ Date et heure ๏ Adresse IP et masque ๏ Nom d’hôte de l’ASA ๏ Nom de domaine ASA CLI Assistant de configuration initiale 58 58 Cisco ASA - 18 octobre 2015
  59. 59. Thomas Moegli … Pre-configure Firewall now through interactive prompts [yes]?
 Firewall Mode [Routed]:
 Enable password [<use current password>]: cisco
 Allow password recovery [yes]? Clock (UTC):
 Year [2012]:
 Month [Oct]:
 Day [3]:
 Time [03:44:47]: 6:49:00 Management IP address: 192.168.1.1 Management network mask: 255.255.255.0 Host name: CCNAS-ASA
 Domain name: ccnasecurity.com IP address of host running Device Manager: 192.168.1.2 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 6:49:00 Oct 3 2011 Firewall Mode: Routed Management IP address: 192.168.1.1 Management network mask: 255.255.255.0 Host name: CCNAS-ASA Domain name: ccnasecurity.com IP address of host running Device Manager: 192.168.1.2 Use this configuration and write to flash? yes INFO: Security level for "management" set to 0 by default. WARNING: http server is not yet enabled to allow ASDM access. Cryptochecksum: ba17fd17 c28f2342 f92f2975 1e1e5112 2070 bytes copied in 0.910 secs Type help or '?' for a list of available commands. CCNAS-ASA> ASA CLI Assistant de configuration initiale 59 59 Cisco ASA - 18 octobre 2015
  60. 60. Thomas Moegli ๏ Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur l’ASA
 
 ๏ Spécifier l’image ASDM à utiliser
 Accès ASDM via l’interface Management Configuration de l’accès ASDM 60 ASA(config)# http server enable ASA(config)# http 10.1.1.0 255.255.255.0 inside ASA(config)# asdm image disk0:/asdm-731.bin 60 Cisco ASA - 18 octobre 2015
  61. 61. Thomas Moegli Accès ASDM via l’interface Management Accès ASDM 61 61 Cisco ASA - 18 octobre 2015
  62. 62. Thomas Moegli Accès ASDM via l’interface Management Accès ASDM 62 62 Cisco ASA - 18 octobre 2015
  63. 63. Thomas Moegli Accès ASDM via l’interface Management Accès ASDM 63 63 Cisco ASA - 18 octobre 2015
  64. 64. Thomas Moegli ๏ Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante :
 Accès ASDM via l’interface Management Accès ASDM 64 ASA# clear configure http 64 Cisco ASA - 18 octobre 2015
  65. 65. Thomas Moegli ๏ Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM ๏ Il faut configurer l’accès ASDM en passant par la console CLI du ASA-SM et en s’y connectant par le moyen vu précédemment. Accès ASDM via l’interface Management Accès ASDM sur les modules ASA-SM 65 65 Cisco ASA - 18 octobre 2015
  66. 66. Cisco ASA Opérations de base 66 Cisco ASA - 18 octobre 2015
  67. 67. Thomas Moegli ๏ Pour configurer le nom d’hôte, utiliser la commande de configuration globale hostname
 
 ๏ Pour configurer le nom de domaine, utiliser la commande de configuration globale domain-name
 Opérations de base Configuration du nom d’hôte et nom de domaine 67 ASA(config)# hostname monASA monASA(config)# ASA# hostname nomHote monASA(config)# domain-name cisco.com monASA(config)# ASA# domain-name nomDomaine 67 Cisco ASA - 18 octobre 2015
  68. 68. Thomas Moegli ๏ Configurer le mot de passe pour l’authentification distant (Telnet/SSH)
 ๏ Configurer le mot de passe pour l’accès privilégié (enable)
 Opérations de base Configuration du mot de passe 68 ASA(config)# password th1$isApasswd ASA(config)# enable password th1$isAnotherPasswd 68 Cisco ASA - 18 octobre 2015
  69. 69. Thomas Moegli ๏ La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée ๏ Une « clé universelle » est utilisée pour chiffrer tous les mots de passe ๏ Cette fonction est supportée pour : ๏ Authentification OSPF ๏ Authentification EIGRP ๏ VPN Load Balancing ๏ VPN (Remote Access et Site-to-Site) ๏ Tolérance de panne (Failover) ๏ Serveurs AAA ๏ Logins ๏ Licences partagées Opérations de base Master Pass-Phrase 69 69 Cisco ASA - 18 octobre 2015
  70. 70. Thomas Moegli ๏ Configuration d’une Master Passphrase :
 
 
 
 
 Opérations de base Master Pass-Phrase : Configuration 70 ASA(config)# key config-key password-encryption New key: ********** Confirm key: ********** ASA(config)# password encryption aes 70 Cisco ASA - 18 octobre 2015
  71. 71. Thomas Moegli ๏ Pour configurer le fuseau horaire :
 
 
 Opérations de base Configuration date et temps 71 ASA(config)# clock timezone EST -5 ASA(config)# end ASA# show clock 16:42:05.459 EST Wed Jan 7 2015 71 Cisco ASA - 18 octobre 2015
  72. 72. Thomas Moegli ๏ Configuration manuelle de la date et de l’heure :
 
 
 
 Opérations de base Configuration date et temps 72 ASA(config)# clock set 20:54:00 february 28 2015 ASA(config)# end ASA# show clock 20:54:03.949 EST Sat Feb 28 2015 72 Cisco ASA - 18 octobre 2015
  73. 73. Thomas Moegli ๏ Activer l’authentification NTP :
 
 
 ๏ Configurer le serveur NTP :
 ๏ Il est possible de configurer plusieurs serveurs NTP. Le mot-clé prefer spécifie le serveur qui sera utilisé en priorité Opérations de base Configuration : NTP 73 ASA(config)# ntp authenticate ASA(config)# ntp trusted-key 1 ASA(config)# ntp authentication-key 1 md5 th1$isAkey! ASA(config)# ntp server 10.11.12.123 key 1 prefer 73 Cisco ASA - 18 octobre 2015
  74. 74. Thomas Moegli ๏ Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est appliquée ๏ L’ASA 5505 dispose de 8 ports Ethernet pour du switching Layer 2. Le routage IP s’effectue en plusieurs étapes ๏ Configuration d’une ou plusieurs interfaces virtuelles (SVI : Switched Virtual Interfaces) inside et outside. La configuration comprend l’assignation d’un nom d’interface, d’un niveau de sécurité et d’une adresse IP ๏ Assignation d’un port Layer 2 au SVI VLAN Inside ou Outside ๏ Il est possible de définir un troisième SVI pour définir par exemple une zone DMZ ๏ Toutefois, la licence de base pour un ASA 5505 ne permet qu’un nombre restreint de SVI Opérations de base Configuration : Interfaces Inside et Outside 74 74 Cisco ASA - 18 octobre 2015
  75. 75. Thomas Moegli ๏ Configuration d’une interface SVI Inside ou Outside dans un VLAN particulier ๏ interface vlan vlan-number : ๏ nameif {inside | outside | name} : Assignation d’un nom à l’interface ๏ security-level value : Assignation d’un niveau de sécurité sur l’interface SVI ๏ Par défaut, la valeur de l’interface Inside vaut 100 et l’interface Outside vaut 0 ๏ ip address ip-address netmask : Configuration d’une adresse IP Opérations de base Configuration : Interfaces Inside et Outside 75 ASA(config)# interface vlan vlan-number ASA(config-if)# nameif {inside | outside | name} ASA(config-if)# security-level value ASA(config-if)# ip address ip-address netmask CCNAS-ASA(config)# interface vlan 1
 CCNAS-ASA(config-if)# nameif inside
 INFO: Security level for "inside" set to 100 by default. CCNAS-ASA(config-if)# security-level 100
 CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0 CCNAS-ASA(config-if)# exit
 CCNAS-ASA(config)# interface vlan 2
 CCNAS-ASA(config-if)# nameif outside
 INFO: Security level for "outside" set to 0 by default. CCNAS-ASA(config-if)# security-level 0
 CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248 CCNAS-ASA(config-if)# exit 75 Cisco ASA - 18 octobre 2015
  76. 76. Thomas Moegli ๏ Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme : ๏ Client DHCP via la commande ip address dhcp [setroute] ๏ Client PPPoE via la commande ip address pope ๏ La configuration de l’ASA comme serveur DHCP sera vue plus loin Opérations de base Configuration : Interfaces Inside et Outside 76 ASA(config-if)# ip address dhcp [setroute] ASA(config-if)# ip address pppoe [setroute] 76 Cisco ASA - 18 octobre 2015
  77. 77. Thomas Moegli ๏ Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour créer d’autres zones, comme une zone DMZ ๏ Cependant, un ASA 5505 avec seulement une licence Basic ne supporte qu’un troisième SVI VLAN ๏ Ce SVI est limité pour initialiser les contacts sur un autre VLAN spécifique ๏ La commande suivante doit être configurée pour supporter le troisième VLAN SVI sur un ASA 5505 avec licence Basic :
 no forward interface plan vlan-id ๏ vlan-id spécifie le VLAN sur lequel l’interface ne peut initier de trafic ๏ Cette commande ne doit être configurée que lorsque les interfaces VLAN Inside et Outside sont configurées ๏ Le nouveau SVI doit également être nommé, posséder un niveau de sécurité ainsi qu’une adresse IP. Opérations de base Configuration : Interfaces Inside et Outside 77 ASA(config)# no forward interface vlan vlan-id 77 Cisco ASA - 18 octobre 2015
  78. 78. Thomas Moegli ๏ Les ports Layer 2 doivent être assignées ensuite aux SVI VLAN crées précédemment ๏ Par défaut, tous les ports sont membres du VLAN 1 ๏ La configuration se fait via les commandes suivantes : ๏ interface interface number : Entrer en mode de configuration d’interface ๏ switchport access vlan vlan-id : Assignation du VLAN au port L2 ๏ no shutdown : Activation de l’interface ๏ Pour vérifier les paramètres VLAN, utiliser la commande show switch vlan Opérations de base Configuration : Assignation ports L2 aux VLANs 78 ASA(config)# interface interface number ASA(config-if)# switchport access vlan vlan-id ASA(config-if)# no shutdown CCNAS-ASA(config-if)# interface e0/1 CCNAS-ASA(config-if)# switchport access vlan 1 CCNAS-ASA(config-if)# no shut CCNAS-ASA(config-if)# exit CCNAS-ASA(config)# interface e0/0 CCNAS-ASA(config-if)# switchport access vlan 2 CCNAS-ASA(config-if)# no shut CCNAS-ASA(config-if)# exit
 CCNAS-ASA(config)# ASA# show switch vlan 78 Cisco ASA - 18 octobre 2015
  79. 79. Thomas Moegli Opérations de base Configuration : Assignation ports L2 aux VLANs 79 CCNAS-ASA# show switch vlan
 VLAN Name Status Ports
 ---- —————————————————————- ——————————- ------------------------------------------------------- 1 inside up Et0/1, Et0/2, Et0/3, Et0/4 Et0/5, Et0/6, Et0/7 2 outside up Et0/0 CCNAS-ASA#
 CCNAS-ASA# show interface ip brief Interface IP-Address OK? Method Status Protocol Ethernet0/0 unassigned YES unset up up Ethernet0/1 unassigned YES unset up up Ethernet0/2 unassigned YES unset administratively down up Ethernet0/3 unassigned YES unset administratively down up Ethernet0/4 unassigned YES unset administratively down up Ethernet0/5 unassigned YES unset administratively down up Ethernet0/6 unassigned YES unset administratively down up Ethernet0/7 unassigned YES unset administratively down up Internal-Data0/0 unassigned YES unset administratively down up Internal-Data0/1 unassigned YES unset administratively down up Vlan1 192.168.1.1 YES manual up up Vlan2 209.156.200.226 YES manual up up Virtual0 127.0.0.1 YES unset up up CCNAS-ASA# 79 Cisco ASA - 18 octobre 2015
  80. 80. Thomas Moegli Configuration de l’ASA comme serveur DHCP ๏ Le nombre maximum de clients DHCP dépend de la licence : Opérations de base Configuration : DHCP 80 Nombre d’hôtes par licence Nombre maximum d’adresses IP disponibles pour DHCP 10 hôtes 32 adresses 50 hôtes 128 adresses Illimité 256 adresses 80 Cisco ASA - 18 octobre 2015
  81. 81. Thomas Moegli Configuration de l’ASA comme serveur DHCP ๏ Spécifier un pool d’adresses DHCP
 ๏ Spécifier les options du pool DHCP (Nom de domaine, serveurs DHCP, interface sur laquelle activer le pool)
 
 
 
 Opérations de base Configuration : DHCP 81 ASA(config)# dhcpd dns 8.8.8.8 ASA(config)# dhcpd domain cisco.com ASA(config)# dhcpd enable inside ASA(config)# dhcpd address 192.168.1.131-192.168.1.175 inside 81 Cisco ASA - 18 octobre 2015
  82. 82. Thomas Moegli Opérations de base Vérification : DHCP 82 CCNAS-ASA# show dhcpd binding 
 IP address Client Identifier Lease expiration Type CCNAS-ASA# show dhcpd state
 Context Configured as DHCP Server
 Interface inside, Configured for DHCP SERVER Interface outside, Configured for DHCP CLIENT CCNAS-ASA# show dhcpd statistics
 DHCP UDP Unreachable Errors: 0
 DHCP Other UDP Errors: 0 Address pools 1 Automatic bindings 0 Expired bindings 0 Malformed messages 0 Message Received BOOTREQUEST 0 DHCPDISCOVER 0 DHCPREQUEST 0 DHCPDECLINE 0 DHCPRELEASE 0 DHCPINFORM 0 Message Sent BOOTREPLY 0 DHCPOFFER 0 DHCPACK 0 DHCPNAK 0 82 Cisco ASA - 18 octobre 2015
  83. 83. Thomas Moegli ๏ Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface ๏ Si configuré de manière globale, il est nécessaire de spécifier l’interface sur laquelle le serveur DHCP est atteignable ๏ Configuration d’une interface pour les requêtes DHCP entrantes :
 
 Opérations de base Configuration : Agent de relais DHCP 83 ASA(config)# dhcprelay server 10.20.12.5 outside ASA(config)# dhcprelay enable dmz ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# dhcprelay server 10.3.4.5 83 Cisco ASA - 18 octobre 2015
  84. 84. Thomas Moegli ๏ Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP de confiance
 
 ๏ Pour faire confiance à toutes les interfaces : ๏ Configuration du timeout pour le relai de requêtes DHCP (par défaut : 60 sec) :
 Opérations de base Configuration : Interface de confiance DHCP et Timeouts 84 ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# dhcprelay information trusted ASA(config)# dhcprelay information trust-all ASA(config)# dhcprelay timeout 30 84 Cisco ASA - 18 octobre 2015
  85. 85. Thomas Moegli ๏ Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interface outside
 
 Opérations de base Configuration : DHCPv6 Relay 85 ASA(config)# ipv6 dhcprelay server 1FFC:C00:C18:6:A8BB:AAFF:F123:1234 outside ASA(config)# dhcprelay enable dmz 85 Cisco ASA - 18 octobre 2015
  86. 86. Thomas Moegli ๏ Si l’ASA est configuré comme client DHCP ou PPPoE, il est très probable qu’il reçoit sa route par défaut via le périphérique supérieure ๏ Dans le cas contraire, l’ASA requiert la configuration d’une route statique par défaut ๏ Pour vérifier la présence de la route, utiliser la commande show route Opérations de base Configuration : Route par défaut 86 CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225 CCNAS-ASA(config)# show route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 209.165.200.225 to network 0.0.0.0 C 209.165.200.224 255.255.255.248 is directly connected, outside C 192.168.1.0 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via 209.165.200.225, outside CCNAS-ASA(config)# ASA# show route 86 Cisco ASA - 18 octobre 2015
  87. 87. Thomas Moegli Opérations de base Vérification des paramètres de base 87 CCNAS-ASA# show switch vlan
 VLAN Name Status Ports
 ---- -------------------------------- --------- ----------------------------- 1 inside up Et0/1, Et0/2, Et0/3, Et0/4 Et0/5, Et0/6, Et0/7 2 outside up Et0/0 CCNAS-ASA#
 CCNAS-ASA# show interface ip brief Interface IP-Address OK? Method Status Protocol Ethernet0/0 unassigned YES unset up up Ethernet0/1 unassigned YES unset up up Ethernet0/2 unassigned YES unset administratively down up Ethernet0/3 unassigned YES unset administratively down up Ethernet0/4 unassigned YES unset administratively down down Ethernet0/5 unassigned YES unset administratively down down Ethernet0/6 unassigned YES unset administratively down down Ethernet0/7 unassigned YES unset administratively down down Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Vlan1 192.168.1.1 YES manual up up Vlan2 209.156.200.226 YES manual up up Virtual0 127.0.0.1 YES unset up up CCNAS-ASA# 87 Cisco ASA - 18 octobre 2015
  88. 88. Cisco ASA Introduction à ASDM 88 Cisco ASA - 18 octobre 2015
  89. 89. Thomas Moegli ๏ Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la configuration, le monitoring et le troubleshooting d’un Cisco ASA ๏ ASDM est préchargé dans la mémoire Flash de n’importe quel ASA fonctionnant sur une version 7.0 et ultérieur ๏ ASDM peut être : ๏ Démarré comme application Java Web téléchargé dynamiquement depuis la mémoire Flash du routeur ASA ๏ Téléchargé depuis la mémoire Flash et installé sur un poste en tant qu’application Java complète permettant à un administrateur de gérer plusieurs périphériques ASA Cisco ASDM 89 89 Cisco ASA - 18 octobre 2015
  90. 90. Thomas Moegli Etapes 1. Vérifier la connectivité avec l’ASA (Ping) 2. Ouvrir un navigateur Web et établir une connexion HTTP à l’ASA 3. Choisir de ๏ Installer ASDM en tant qu’application Java ๏ Démarrer ASDM en tant qu’application Web Java ๏ Démarrer l’assistant pour effectuer les paramètres initiaux 4. S’authentifier sur l’ASDM Cisco ASDM Démarrage ASDM 90 90 Cisco ASA - 18 octobre 2015
  91. 91. Thomas Moegli ๏ La page Home affiche un résumé du status opérationnel de l’ASA. Cette page est rafraichie toutes les 10 sec. Cisco ASDM Tableau de bord ASDM : Home - Device 91 91 Cisco ASA - 18 octobre 2015
  92. 92. Thomas Moegli ๏ La page Firewall affiche des informations de sécurité liées au trafic qui transite par l’ASA Cisco ASDM Tableau de bord ASDM : Home - Firewall 92 92 Cisco ASA - 18 octobre 2015
  93. 93. Thomas Moegli ๏ Configuration ➔ Device Setup ➔ Device Name/Password Cisco ASDM Configuration d’hôte et mot de passe 93 93 Cisco ASA - 18 octobre 2015
  94. 94. Thomas Moegli ๏ Configuration ➔ Device Setup ➔ Interfaces Settings ➔ Interfaces Cisco ASDM Configuration des interfaces 94 94 Cisco ASA - 18 octobre 2015
  95. 95. Thomas Moegli ๏ Configuration ➔ Device Setup ➔ Interfaces ➔ Switch Ports Cisco ASDM Configuration des interfaces L2 95 95 Cisco ASA - 18 octobre 2015
  96. 96. Thomas Moegli ๏ Configuration ➔ Device Management ➔ Management Access ➔ ASDM/HTTPS/Telnet/SSH Cisco ASDM Configuration Telnet et SSH 96 96 Cisco ASA - 18 octobre 2015
  97. 97. Cisco ASA Objects et Objects Groups 97 Cisco ASA - 18 octobre 2015
  98. 98. Thomas Moegli ๏ Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) via l’utilisation d’objets (Objects) ou groupes d’objets (Objects Groups) ๏ Un objet peut être défini par une adresse IP particulière, un sous-réseau ou un protocole (et optionnellement un numéro de port) ๏ L’avantage d’utiliser les objets est que, lorsque l’un des paramètres doit être modifié (adresse IP, port, …), les changements sont automatiquement appliquées aux règles utilisant cet objet Objects et Objects Groups 98 98 Cisco ASA - 18 octobre 2015
  99. 99. Thomas Moegli L’ASA supporte deux types d’objets : ๏ Network Object : ๏ Contient une adresse IP/Masque de sous-réseau ๏ Peut être défini pour un hôte, un sous-réseau ou un intervalle ๏ Service Object : ๏ Contient un protocole ainsi (optionnel) qu’un port source et/ou destination Objets 99 CCNAS-ASA(config)# object ? configure mode commands/options: network Specifies a host, subnet or range IP addresses service Specifies a protocol/port CCNAS-ASA(config)# Un Network Object est requis pour configurer NAT 99 Cisco ASA - 18 octobre 2015
  100. 100. Thomas Moegli ๏ Pour créer un Network Object, utiliser la commande de configuration globale object network object-name ๏ On passe en mode de configuration de Network Object ๏ Un Network Object ne peut contenir qu’une seule adresse IP/Masque ๏ La saisie d’une adresse IP/Masque secondaire efface et remplace la configuration existante ๏ Pour effacer tous les Network Objects, utiliser la commande clear config object network Configuration d’un Network Object (CLI) 100 CCNAS-ASA(config)# object network EXAMPLE-1 CCNAS-ASA(config-network-object)# host 192.168.1.4 CCNAS-ASA(config-network-object)# range 192.168.1.10 192.168.1.20 CCNAS-ASA(config-network-object)# exit CCNAS-ASA(config)#
 CCNAS-ASA(config)# show running-config object object network EXAMPLE-1 range 192.168.1.10 192.168.1.20 CCNAS-ASA(config)# ASA(config)# object network object-name ASA# clear config object network 100 Cisco ASA - 18 octobre 2015
  101. 101. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups Configuration d’un Network Object (ASDM) 101 101 Cisco ASA - 18 octobre 2015
  102. 102. Thomas Moegli ๏ Pour créer un Service Object, utiliser la commande de configuration globale object network object-name ๏ On passe en mode de configuration de Service Object ๏ Un Service Object ne peut être associé qu’avec un seul protocole et port (ou ports) ๏ Si un Service Object existant est configuré avec un protocole et un port différents (ou des ports), la nouvelle configuration remplace les protocoles et ports existants avec les nouveaux. Configuration d’un Service Object (CLI) 102 CCNAS-ASA(config)# object service SERV-1 CCNAS-ASA(config-service-object)# service tcp destination eq ftp CCNAS-ASA(config-service-object)# service tcp destination eq www CCNAS-ASA(config-service-object)# exit CCNAS-ASA(config)#
 CCNAS-ASA(config)# show running-config object object service SERV-1 service tcp destination eq www CCNAS-ASA(config)# ASA(config)# object service object-name 102 Cisco ASA - 18 octobre 2015
  103. 103. Thomas Moegli Il existe 5 options de service : ๏ Spécifie un nom de protocole IP ou un numéro de port ๏ Spécifie que le Service Object est pour le protocole TCP ๏ Spécifie que le Service Object est pour le protocole UDP ๏ Spécifie que le Service Object est pour le protocole ICMP ๏ Spécifie que le Service Object est pour le protocole ICMP6 Configuration d’un Service Object (CLI) 103 ASA(config)# service protocol [source [operator port]] [destination [operator port]] ASA(config)# service tcp [source [operator port]] [destination [operator port]] ASA(config)# service udp [source [operator port]] [destination [operator port]] ASA(config)# service icmp icmp-type ASA(config)# service icmp6 icmp6-type 103 Cisco ASA - 18 octobre 2015
  104. 104. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups Configuration d’un Service Object (ASDM) 104 104 Cisco ASA - 18 octobre 2015
  105. 105. Thomas Moegli ๏ Les Objects Groups sont utilisés pour grouper les objets ๏ Les objets peuvent être rattachés ou détachés de plusieurs Objects Groups ๏ Cela permet d’éviter la duplication d’objets ๏ Il est possible de créer plusieurs types de groupes d’objets : Network, Protocol, Type ICMP avec la commande :
 ๏ Il est également possible de créer des groupes d’objets de service via la commande :
 Objects Groups 105 ASA(config)# object-group {network | protocol | icmp-type} group-name ASA(config)# object-group service group-name [tcp | udp | tcp-udp] 105 Cisco ASA - 18 octobre 2015
  106. 106. Thomas Moegli ๏ Il existe 4 types de groupes d’objets : Objects Groups 106 Object-Group Description Network Spécifie une liste d’hôtes IP, sous-réseaux ou intervalles d’IP Protocol Combine les protocoles IP (comme TCP, UDP, ICMP) dans un objet Par exemple, pour intégrer TCP et UDP pour le protocole DNS, créer un Object Group et ajouter le protocole TCP et UDP dans ce groupe ICMP Le protocole ICMP utilise un type unique pour l’envoi de messages de contrôle (RFC 792) Le groupe d’objets ICMP-type peut grouper les types nécessaires pour des besoins de sécurité Service Utilisé pour grouper les ports TCP, UDP, TCP/UDP dans un objet Il peut contenir un mélange de services TCP, services UDP, services ICMP, et tout protocole comme par ex. ESP, GRE, … CCNAS-ASA(config)# object group ? configure mode commands/options: icmp-type Specifies a group of ICMP types, such as echo network Specifies a group of host or subnet IP addresses protocol Specifies a group of protocols, such as TCP, etc service Specifies a group of TCP/UDP ports/services user Specifies single user, local or import user group CCNAS-ASA(config)# 106 Cisco ASA - 18 octobre 2015
  107. 107. Thomas Moegli ๏ Pour configurer un Network Object Group, utiliser la commande ๏ Ajouter les objets réseaux via les commandes suivantes : ๏ network-object ๏ group-object Network Objects Groups (CLI) 107 CCNAS-ASA(config)# object-group network ADMIN-HOST CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.3 CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.4 CCNAS-ASA(config-network-object-group)# exit
 CCNAS-ASA(config)# object-group network ALL-HOSTS CCNAS-ASA(config-network-object-group)# network-object 192.168.1.32 255.255.255.240 CCNAS-ASA(config-network-object-group)# group-object ADMIN-HOST CCNAS-ASA(config-network-object-group)# exit
 CCNAS-ASA(config)# show run object-group
 object-group network ADMIN-HOST description Administrative host IP addresses network-object host 192.168.1.3 network-object host 192.168.1.4 object-group network ALL-HOSTS network-object 192.168.1.32 255.255.255.240 group-object ADMIN-HOST CCNAS-ASA(config)# ASA(config)# network-object ASA(config)# group-object ASA(config)# object-group network grp-name 107 Cisco ASA - 18 octobre 2015
  108. 108. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups Network Objects Groups (ASDM) 108 108 Cisco ASA - 18 octobre 2015
  109. 109. Thomas Moegli ๏ Pour configurer un Protocol Object Group, utiliser la commande de configuration globale :
 ๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes : ๏ protocol-object ๏ group-object Protocol Object Group 109 CCNAS-ASA(config)# object-group protocol PROTO-1 CCNAS-ASA(config-protocol-object-group)# protocol-object udp CCNAS-ASA(config-protocol-object-group)# network-object ipsec CCNAS-ASA(config-protocol-object-group)# exit
 CCNAS-ASA(config)# object-group protocol PROTO-2 CCNAS-ASA(config-protocol-object-group)# protocol-object tcp CCNAS-ASA(config-protocol-object-group)# group-object PROTO-1 CCNAS-ASA(config-protocol-object-group)# exit
 CCNAS-ASA(config)# show running-config object-group protocol
 object-group protocol PROTO-1 protocol-object udp protocol-object esp object-group protocol PROTO-2 protocol-object tcp group-object PROTO-1 CCNAS-ASA(config)# ASA(config)# protocol-object ASA(config)# group-object ASA(config)# object-group protocol grp-name 109 Cisco ASA - 18 octobre 2015
  110. 110. Thomas Moegli ๏ Pour configurer un ICMP Object Group, utiliser la commande de configuration globale :
 ๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes : ๏ protocol-object ๏ group-object ICMP Object Group 110 CCNAS-ASA(config)# object-group icmp-type ICMP-ALLOWED CCNAS-ASA(config-icmp-object-group)# icmp-object echo CCNAS-ASA(config-icmp-object-group)# icmp-object time-exceeded CCNAS-ASA(config-icmp-object-group)# exit
 CCNAS-ASA(config)# 
 CCNAS-ASA(config)# show running-config object-group id ICMP-ALLOWED
 object-group icmp-type ICMP-ALLOWED icmp-object echo icmp-object time-exceeded CCNAS-ASA(config)# ASA(config)# icmp-object ASA(config)# group-object ASA(config)# object-group icmp-type grp-name 110 Cisco ASA - 18 octobre 2015
  111. 111. Thomas Moegli ๏ Pour configurer un Service Object Group, utiliser la commande de configuration globale :
 ๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes : ๏ protocol-object ๏ group-object Service Object Group (CLI) 111 CCNAS-ASA(config)# object-group service SERVICES-1 CCNAS-ASA(config-service-object-group)# service-object tcp destination eq www CCNAS-ASA(config-service-object-group)# service-object tcp destination eq https CCNAS-ASA(config-service-object-group)# service-object udp destination eq nap CCNAS-ASA(config-service-object-group)# exit
 CCNAS-ASA(config)#
 CCNAS-ASA(config)# object-group service SERVICES-2 tcp CCNAS-ASA(config-service-object-group)# port-object eq pop3 CCNAS-ASA(config-service-object-group)# port-object eq smtp CCNAS-ASA(config-service-object-group)# exit
 CCNAS-ASA(config)#
 CCNAS-ASA(config)# object-group service SERVICES-3 tcp CCNAS-ASA(config-service-object-group)# group-object SERVICES-2 CCNAS-ASA(config-service-object-group)# port-object eq ftp CCNAS-ASA(config-service-object-group)# port-object range 2000 2005 CCNAS-ASA(config-service-object-group)# exit
 CCNAS-ASA(config)# ASA(config)# service-object ASA(config)# group-object ASA(config)# object-group service grp-name 111 Cisco ASA - 18 octobre 2015
  112. 112. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups Service Object Group (ASDM) 112 112 Cisco ASA - 18 octobre 2015
  113. 113. Cisco ASA ASA ACLs 113 Cisco ASA - 18 octobre 2015
  114. 114. Thomas Moegli ๏ Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE ๏ Les ACL sont traitées de manière séquentielle depuis le haut vers le bas ๏ Dès qu’une entrée ACE correspond, on sort de l’ACL sans consulter les règles suivantes ๏ Ils possèdent une entrée de refus par défaut à la fin de la liste ๏ Ils respectent la règle suivante : une ACL par interface, par protocole, par sens ๏ Ils peuvent être activés/désactivés selon des plages horaires définies ACLs Similarités entre ACL IOS et ACL ASA 114 114 Cisco ASA - 18 octobre 2015
  115. 115. Thomas Moegli ๏ Les ACL ASA utilisent un masque de sous-réseau (ex. 255.255.255.0) ๏ Les ACL IOS utilisent un masque Wildcard (ex. 0.0.0.255) ๏ Les ACL sont toujours nommées au lieu d’être simplement numérotés ๏ Les ASA ACLs peuvent être numérotés mais contrairement aux ACL IOS, les numéros n’ont aucune signification ๏ Par défaut, les niveaux de sécurité appliquent les contrôles d’accès sans configuration explicite d’ACL ACLs Différences entre ACL IOS et ACL ASA 115 115 Cisco ASA - 18 octobre 2015
  116. 116. Thomas Moegli ๏ Filtrage du trafic transitant par l’ASA ๏ Le trafic qui transite d’une interface à une autre est filtré par l’ASA suivant les ACL configurées ๏ Filtrage du trafic à destination de l’ASA ๏ Egalement appelé règles d’accès du trafic de Mgmt (Telnet, SSH, SNMP) ๏ Lorsque ce trafic est à destination de l’ASA, il est également régi par les règles ACL ACLs Fonctions des ACL 116 116 Cisco ASA - 18 octobre 2015
  117. 117. Thomas Moegli ๏ L’ASA supporte 5 types d’ACLs : ACLs ASA ACLs : Types 117 Type d’ACL Description Extended ๏ ACL le plus populaire ๏ Filtrage basé sur le port source/destination et le protocole Standard ๏ Utilisé pour les protocoles de routage, pas comme règles de firewall ๏ Ne peut s’appliquer aux interfaces pour contrôler le trafic IPv6 ๏ Utilisé pour supporter l’adressage IPv6 Webtype ๏ Utilisé pour SSL VPN Clientless Ethertype ๏ Spécifie le protocole de couche réseau ๏ Utilisé uniquement lorsque l’ASA est en mode transparent 117 Cisco ASA - 18 octobre 2015
  118. 118. Thomas Moegli ACLs ASA ACLs : Applications 118 Utilisation ACL Type d’ACL Description Gérer le trafic inter-réseaux Extended ๏ Par défaut, l’ASA n’autorise pas le trafic provenant d’un niveau de sécurité plus faible vers une interface ayant un niveau de sécurité plus haut sauf si explicitement autorisé Identifier le trafic des règles AAA Extended ๏ Utilisé dans les listes d’accès AAA pour identifier le trafic Identifier les adresses pour NAT Extended ๏ Les règles NAT permettent d’identifier le trafic local pour effectuer la translation d’adresses Etablissement d’un accès VPN Extended ๏ Utilisé dans les commandes VPN Identifier le trafic Modular Policy Framework (MPF) Extended ๏ Utilisé pour identifier le trafic dans une Class Map, qui est utilisé dans les fonctionnalités qui supportent MPF Identifier la redistribution de route OSPF Standard ๏ Les ACL Standards n’incluent que l’adresse de destination ๏ Utilisé pour contrôler la redistribution des routes OSPF Contrôler l’accès réseau pour les réseaux IPv6 IPv6 ๏ Utilisé pour contrôler le trafic sur les réseaux IPv6 118 Cisco ASA - 18 octobre 2015
  119. 119. Thomas Moegli ACLs Extended ACL : Syntaxe 119 CCNAS-ASA(config)# help access-list USAGE: Extended access list: Use this to configure policy for IP traffic through the firewall [no] access-list <id> [line <line_num>] [extended] {deny | permit} {<protocol> | object-group {<service_obj_grp_id> | <protocol_obj_grp_id>} | object <service_object_name>} [user-group [<domain_nickname>]<user_group_name> | user [<domain_nickname>]<user_name> | object-group-user < object_group_user_name>] {host <sip> | <sip> <smask> | interface <ifc> | any | object-group <network_obj_grp_id> | object <network_obj_name>} [<operator> <port> [<port>] | object-group <service_obj_grp_id>] {host <dip> | <dip> <dmask> | interface <ifc> | any | object-group <network_obj_grp_id> | object <network_obj_name>} [<operator> <port> [<port>] | object-group <service_obj_grp_id>] [log [disable] | [<level>] | [default] [interval <secs>]] … 119 Cisco ASA - 18 octobre 2015
  120. 120. Thomas Moegli ACLs Extended ACL : Syntaxe 120 access-list id extended {deny | permit} protocol {source_addr source_mask | any | host src_host | interface src_if_name} [operator port [port]] {dest_addr dest_mask | any | host dst_host | interface dst_if_name} [operator port [port]] Nom ACL Cela peut également être un nombre. Protocole de couche 3 Exemple : IP, TCP, UDP Peut également être un Protocol Object Group Trafic source à filtrer. Cela peut également être un Network Object Group L’option interface est utilisé pour du trafic provenant de l’ASA Trafic de destination à filtrer. Cela peut également être un Network Object Group L’option interface est utilisé pour du trafic à destination de l’ASA L’opérateur peut être : ๏ lt (less than) ๏ gt (greater than) ๏ eq (equal) ๏ neq (not equal) ๏ range (intervalle) Le port peut être le numéro de port, nom du port TCP/UDP ou un Service Object Group 120 Cisco ASA - 18 octobre 2015
  121. 121. Thomas Moegli ๏ Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group ๏ Syntaxe :
 ACLs Access-Group 121 access-group acl-id {in | out} interface interface-name [per-user-override | control-plane] ASA(config)# access-group Syntaxe Description access-group ๏ Mot-clé utilisé pour appliquer une ACL à une interface acl-id ๏ Nom de l’ACL in ๏ L’ACL filtre les paquets entrants out ๏ L’ACL filtre les paquets sortants interface ๏ Mot-clé utilisé pour spécifier l’interface à appliquer l’ACL interface_name ๏ Nom de l’interface sur lequel appliquer l’ACL per-user-override ๏ Option permettant de remplacer toutes les ACL de l’interface par l’ACL control-plane ๏ Spécifie si la règle est utilisé pour du trafic vers ou provenant de l’ASA 121 Cisco ASA - 18 octobre 2015
  122. 122. Thomas Moegli ๏ L’ACL autorise tous les hôtes du réseau interne à traverser l’ASA ๏ Par défaut, tout autre trafic est refusé ACLs Exemples d’ACL 122 access-list ACL-IN-1 extended permit ip any any access-group ACL-IN-1 in interface inside access-list ACL-IN-2 extended deny tcp 192.168.1.0 255.255.255.0 host 209.165.201.228 access-list ACL-IN-2 extended permit ip any any access-group ACL-IN-2 in interface inside access-list ACL-IN-3 extended permit tcp 192.168.1.0 255.255.255.0 host 209.165.201.228 access-group ACL-IN-3 in interface inside access-list ACL-IN-4 extended deny tcp any host 209.165.201.229 eq www access-list ACL-IN-4 extended permit ip any any access-group ACL-IN-4 in interface inside ๏ L’ACL interdit tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228 ๏ Par défaut, tout autre trafic est autorisé ๏ L’ACL autorise tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228 ๏ Par défaut, tout autre trafic est refusé ๏ L’ACL refuse tout accès au serveur sur l’adresse 209.165.201.229 sur le port 80 (www) ๏ Par défaut, tout autre trafic est autorisé 122 Cisco ASA - 18 octobre 2015
  123. 123. Thomas Moegli ๏ Par défaut, les interfaces avec le même niveau de confiance : ๏ Ne peuvent communiquer entre eux ๏ Les paquets ne peuvent entrer et sortir sur la même interface ๏ Pose problème avec le trafic VPN qui entre dans une interface mais est routé puis ressort de la même interface ๏ Utiliser la commande suivante permet d’activer la communication entre interfaces de même niveau de sécurité :
 ๏ Utiliser la commande suivante permet d’activer la communication entre hôtes connectées à la même interface :
 ACLs Communication entre interfaces de même niveau de confiance 123 same-security-traffic permit inter-interface same-security-traffic permit intra-interface 123 Cisco ASA - 18 octobre 2015
  124. 124. Thomas Moegli ๏ Pour vérifier la syntaxe des ACL, utiliser les commandes suivantes : ๏ ACLs Vérification des ACLs 124 show running-config access-list show access-list 124 Cisco ASA - 18 octobre 2015
  125. 125. Thomas Moegli ๏ PC-A et PC-B sont des hôtes externes qui doivent pouvoir accéder aux deux serveurs internes ๏ Chaque serveur propose des services Web et Email ACLs ACL - Exemple 1 125 Internet .131 E0/0 E0/1 .132 E0/2 209.165.202.128/27 Inside (VLAN 1) Serveur Web Serveur Mail Serveur Web Serveur Mail 209.165.200.224/27 209.165.201.1 209.165.201.2 PC-A PC-B Outside (VLAN 2) 125 Cisco ASA - 18 octobre 2015
  126. 126. Thomas Moegli ACLs ACL : Exemple 1 126 ASA(config)# access-list ACL-IN remark Permit PC-A -> Server A for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp 209.165.201.1 PC-A PC-B 209.165.201.2 Serveur Web Serveur Mail 209.165.202.131 Serveur Web Serveur Mail 209.165.202.132 ASA(config)# access-list ACL-IN remark Permit PC-A -> Server B for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq smtp ASA(config)# access-list ACL-IN remark Permit PC-B -> Server A for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp ASA(config)# access-list ACL-IN remark Permit PC-B -> Server B for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq smtp ASA(config)# access-list ACL-IN remark Deny All Trafic ASA(config)# access-list ACL-IN extended deny ip any any log ASA(config)# access-group ACL-IN in interface outside 126 Cisco ASA - 18 octobre 2015
  127. 127. Thomas Moegli ACLs ACL : Exemple 1 (Vérification) 127 ASA# show running-config access-list access-list ACL-IN remark Permit PC-A -> Server A for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq www access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp access-list ACL-IN remark Permit PC-A -> Server B for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq www access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq smtp access-list ACL-IN remark Permit PC-B -> Server A for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq www access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp access-list ACL-IN remark Permit PC-B -> Server B for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq www access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq smtp access-list ACL-IN extended deny ip any any log
 ASA#
 ASA# show access-list ACL-IN brief access-list ACL-IN; 9 elements; name hash: 0x44d1c580
 ASA# 127 Cisco ASA - 18 octobre 2015
  128. 128. Thomas Moegli ๏ Cet exemple présente l’utilisation des Objects Groups. ๏ La topologie et la configuration des règles est identique à l’exemple 1 ๏ On utilise les objets configurés pour établir les règles ๏ On configure les objets suivantes : ๏ TCP : Protocol Object Group ๏ Internet-Hosts : Network Object Group qui permet d’identifier les deux hôtes externes ๏ Internai-Servers : Network Object Group qui permet d’identifier les deux serveurs internes ๏ HTTP-SMTP : Service Object Group qui permet d’identifier les protocoles HTTP et SMTP ๏ Ces Objects Groups sont spécifiés dans une entrée ACE ๏ Tout le trafic restant est refusé et enregistré ACLs ACL avec Objects Groups : Exemple 2 128 128 Cisco ASA - 18 octobre 2015
  129. 129. Thomas Moegli Création des Objects Groups ACLs ACL avec Objects Groups : Exemple 2 129 209.165.201.1 PC-A PC-B 209.165.201.2 Serveur Web Serveur Mail 209.165.202.131 Serveur Web Serveur Mail 209.165.202.132 ASA(config)# object-group protocol TCP ASA(config-protocol)# description OG identifiant TCP comme protocole ASA(config-protocol)# protocol-object tcp ASA(config-protocol)# exit ASA(config)# ASA(config)# object-group network Internet-Hosts ASA(config-network)# description OG identifie les hotes PC-A et PC-B ASA(config-network)# network-object host 209.165.201.1 ASA(config-network)# network-object host 209.165.201.2 ASA(config-network)# exit ASA(config)# ASA(config)# object-group network Internal-Servers ASA(config-network)# description OG identifie les serveurs internes ASA(config-network)# network-object host 209.165.202.131 ASA(config-network)# network-object host 209.165.202.132 ASA(config-network)# exit ASA(config)# ASA(config)# object-group service HTTP-SMTP tcp ASA(config-service)# description OG identifie le trafic HTTP/HTTPS et SMTP ASA(config-service)# port-object eq smtp ASA(config-service)# port-object eq www ASA(config-service)# exit ASA(config)# 129 Cisco ASA - 18 octobre 2015
  130. 130. Thomas Moegli ACLs ACL avec Objects Groups : Exemple 2 130 209.165.201.1 PC-A PC-B 209.165.201.2 Serveur Web Serveur Mail 209.165.202.131 Serveur Web Serveur Mail 209.165.202.132 ASA(config)# access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs ASA(config)# access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object-group Internal-Servers object-group HTTP-SMTP ASA(config)# access-list ACL-IN extended deny ip any any log ASA(config)# ASA(config)# access-group ACL-IN in interface outside ASA(config)# ASA# show running-config access-list access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
 access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object- group Internal-Servers object-group HTTP-SMTP ASA# show access-list ACL-IN brief access-list ACL-IN; 9 elements; name hash: 0x44d1c580 Création de l’ACL en se basant sur les Objects Groups et application sur l’interface Vérification ACL 130 Cisco ASA - 18 octobre 2015
  131. 131. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Access Rules ACLs ACL avec ASDM 131 131 Cisco ASA - 18 octobre 2015
  132. 132. Cisco ASA ASA NAT 132 Cisco ASA - 18 octobre 2015
  133. 133. Thomas Moegli ๏ Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants : ๏ Inside NAT ๏ Lorsque l’ASA translate les adresses des côtes internes vers des adresses globales ๏ Le trafic de retour est également géré ๏ Outside NAT ๏ Méthode utilisé lorsque du trafic d’une interface à basse sécurité vers une interface à sécurité plus élevée ๏ Cette méthode peut être utile pour rendre visible un hôte d’un réseau interne sur une adresse IP connue externe ๏ Bidirectional NAT ๏ Effectue les translations NAT Inside et Outside ASA : Services NAT 133 133 Cisco ASA - 18 octobre 2015
  134. 134. Thomas Moegli ๏ NAT est supporté dans les modes Routed et Transparent ๏ Il existe plusieurs restrictions pour le mode Transparent ๏ Il est nécessaire de spécifier les interfaces réelles et mappées ๏ Il est impossible de spécifier « any » comme interface ๏ PAT n’est pas supporté car en mode transparent, les interfaces n’ont pas d’adresses IP et il n’est pas possible d’utiliser l’adresse IP de management comme adresse mappée. ๏ La translation entre IPv4 et IPv6 n’est pas supportée ๏ La translation entre deux réseaux IPv6 ou entre deux réseaux IPv4 est supportée ASA : Services NAT NAT : Modes Routed et Transparent 134 134 Cisco ASA - 18 octobre 2015
  135. 135. Thomas Moegli ๏ En mode Routed, il est possible d’effectuer de la translation entre IPv4 et IPv6 ๏ Un pool PAT n’est pas supporté pour IPv6 en mode Transparent ๏ Pour du NAT statique, il est possible de définir un sous-réseau IPv6 jusqu’à /64. Les sous-réseaux plus grands ne sont pas supportés ASA : Services NAT NAT IPv6 135 135 Cisco ASA - 18 octobre 2015
  136. 136. Thomas Moegli InternetE0/0 Inside (VLAN 1) 209.165.200.224/27 209.165.201.2 PC-B Outside (VLAN 2) E0/1 192.168.1.0/27 DMZ (VLAN 3) E0/2 192.168.2.0/24 .5 .3 Inside NAT Outside NAT Inside NAT Outside NAT ASA : Services NAT 136 136 Cisco ASA - 18 octobre 2015
  137. 137. Thomas Moegli ๏ Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi : ๏ Création d’un Network Object ๏ Identification des réseaux à translater ๏ Définir les paramètres de la commande nat Auto NAT 137 NOTE ๏ Avant le version 8.3, NAT était configuré via les commandes nat, global et static ๏ Les commandes global et static ne sont plus reconnues 137 Cisco ASA - 18 octobre 2015
  138. 138. Thomas Moegli ๏ L’ASA sépare la configuration NAT en deux sections : ๏ La première section définit le réseau à translater via un Network Object ๏ La seconde section définit les paramètres de la commande nat ๏ Ces deux sections apparaissent à des emplacements différents sur la commande show running-config Configuration NAT 138 ASA# show running-config ASA(config)# object network INSIDE-NET remark Permet uniquement PC-A/PC-B -> Serveurs ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224 ASA(config-network-object)# nat (inside,outside) dynamic interface ASA(config-network-object)# end ASA# ASA# show running-config nat ! object network INSIDE-NET nat (inside,outside) dynamic interface ASA# ASA# show running-config object object network INSIDE-NET nat (inside,outside) dynamic interface ASA# 138 Cisco ASA - 18 octobre 2015
  139. 139. Thomas Moegli ๏ Dynamic NAT ๏ Translation Many-to-Many ๏ Typiquement déployé dans Inside NAT ๏ Dynamic PAT ๏ Translation Many-to-One ๏ Généralement un pool d’adresses privées utilisés pour translater une interface externe ou une adresse externe ๏ Typiquement déployé dans Inside NAT ๏ Static NAT ๏ Translation One-to-One ๏ Généralement une adresse externe qui est mappée à un serveur interne ๏ Typiquement déployé avec Outside NAT ๏ Twice-NAT ๏ La fonction NAT de la version 8.3 permet d’identifier l’adresse source et destination en une seule règle (Commande nat) ๏ Utilisé pour la configuration IPSec et SSL Remote-Access VPN Configuration : Types de NAT 139 139 Cisco ASA - 18 octobre 2015
  140. 140. Thomas Moegli Pour configurer Dynamic NAT, deux Network Objects sont requis : ๏ Le premier Network Object identifie le pool d’adresses IP publiques qui seront transformés en adresses privées ๏ object network mapped-obj ๏ Nom du Network Object qui identifie le pool d’adresses publiques ๏ range ip-addr-1 ip-addr-n ๏ Définit le pool d’adresses IP publiques ๏ Le second Network Object combine le pool d’adresses IP publiques avec le sous-réseau privé et l’interface ๏ object network nat-object-name ๏ Nom de l’objet NAT combiné ๏ subnet net-address net-mask ๏ Identifie le sous-réseau privé ๏ nat (real-ifc, mapped-ifc) dynamic mapped-obj ๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura une adresse assignée dynamiquement avec le pool d’adresses IP publiques. Configuration : Dynamic NAT 140 ASA(config)# object network mapped-obj ASA(config)# range ip-addr-1 ip-addr-n ASA(config)# object network nat-object-name ASA(config)# subnet net-address net-mask ASA(config)# nat (real-ifc, mapped-ifc) dynamic mapped-obj 140 Cisco ASA - 18 octobre 2015
  141. 141. Thomas Moegli InternetE0/0 Inside (VLAN 1) 209.165.200.224/27 Outside (VLAN 2) E0/1 192.168.1.0/27 DMZ (VLAN 3) E0/2 192.168.2.0/24 .5 .3 209.165.201.2 PC-B Configuration : Dynamic NAT 141 ASA(config)# object network PUBLIC-IP ASA(config-network-object)# range 209.165.200.240 255.255.255.240 ASA(config-network-object)# exit ASA(config)# ASA(config)# object network INSIDE-NET ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224 ASA(config-network-object)# nat (inside,outside) dynamic PUBLIC-IP ASA(config-network-object)# end ASA# 141 Cisco ASA - 18 octobre 2015
  142. 142. Thomas Moegli Pour configurer Dynamic PAT, un Network Object est requis : ๏ Dynamic PAT est utilisé lorsqu’on utilise la même adresse IP publique de sortie. Pour différencier les trafics, on utilise les ports ๏ object network net-object-name ๏ Nom du Network Object ๏ subnet net-address net-mask ๏ Identifie le réseau privé ๏ nat (real-ifc, mapped-ifc) dynamic [interface | ip-address] ๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura l’adresse IP de l’interface ou l’adresse IP configurée assignée après le mot-clé dynamic. Configuration : Dynamic PAT 142 ASA(config)# object network nat-object-name ASA(config)# subnet net-address net-mask ASA(config)# nat (real-ifc, mapped-ifc) dynamic [interface | ip-address] 142 Cisco ASA - 18 octobre 2015
  143. 143. Thomas Moegli Configuration : Dynamic PAT 143 InternetE0/0 Inside (VLAN 1) 209.165.200.224/27 Outside (VLAN 2) E0/1 192.168.1.0/27 DMZ (VLAN 3) E0/2 192.168.2.0/24 .5 .3 209.165.201.2 PC-B ASA(config)# object network INSIDE-NET ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224 ASA(config-network-object)# nat (inside,outside) dynamic interface ASA(config-network-object)# end ASA# 143 Cisco ASA - 18 octobre 2015
  144. 144. Thomas Moegli Configuration : Dynamic PAT 144 InternetE0/0 Inside (VLAN 1) 209.165.200.224/27 Outside (VLAN 2) E0/1 192.168.1.0/27 DMZ (VLAN 3) E0/2 192.168.2.0/24 .5 .3 209.165.201.2 PC-B ASA(config)# object network INSIDE-NET ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224 ASA(config-network-object)# nat (inside,outside) dynamic 209.165.200.229 ASA(config-network-object)# end ASA# 144 Cisco ASA - 18 octobre 2015
  145. 145. Thomas Moegli Pour configurer Static NAT, un Network Object est requis : ๏ Static NAT permet de faire correspondre une adresse IP publique à une adresse IP privée ๏ object network net-object-name ๏ Nom du Network Object ๏ subnet net-address net-mask ๏ Identifie le réseau privé ๏ nat (real-ifc, mapped-ifc) static [interface | ip-address] ๏ Règle NAT faisant correspondre une adresse interne à une adresse externe. Configuration : Static PAT 145 ASA(config)# object network nat-object-name ASA(config)# host ip-addr ASA(config)# nat (real-ifc, mapped-ifc) static mapped-ip-addr NOTE ๏ Static NAT requiert qu’une ACE doit être ajouté sur l’ACL de l’interface outside 145 Cisco ASA - 18 octobre 2015
  146. 146. Thomas Moegli Configuration : Static NAT 146 InternetE0/0 Inside (VLAN 1) 209.165.200.224/27 Outside (VLAN 2) E0/1 192.168.1.0/27 DMZ (VLAN 3) E0/2 192.168.2.0/24 .5 .3 209.165.201.2 PC-B ASA(config)# object network DMZ-SERVER ASA(config-network-object)# host 192.168.2.3 ASA(config-network-object)# nat (dmz,outside) static 209.200.165.227 ASA(config-network-object)# exit ASA(config)# ASA(config)# access-list OUTSIDE-DMZ permit ip any host 192.168.2.3 ASA(config)# access-group OUTSIDE-DMZ in interface outside ASA(config)# 146 Cisco ASA - 18 octobre 2015
  147. 147. Thomas Moegli Vérification : Static NAT 147 InternetE0/0 Inside (VLAN 1) 209.165.200.224/27 Outside (VLAN 2) E0/1 192.168.1.0/27 DMZ (VLAN 3) E0/2 192.168.2.0/24 .5 .3 209.165.201.2 PC-B ASA# show nat Auto NAT Policies (Section 2) 1 (dmz) to (outside) source static DMZ-SERVER 209.165.200.227 translate_hits = 0, intranslate_hits = 4 2 (inside) to (outside) source dynamic inside-nat interface translate_hits = 4, untraslate_hits = 0 ASA# show xlate 1 in use, 3 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice NAT from dmz:192.168.2.3 to outside:209.165.200.227 flags s idle 0:22:58 timeout 0:00:00 ASA# 147 Cisco ASA - 18 octobre 2015
  148. 148. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups ๏ La création d’un Network Object se fait via le bouton Add Configuration NAT sur ASDM Ajout d’un Network Object 148 148 Cisco ASA - 18 octobre 2015
  149. 149. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups ๏ S’effectue lors de la création du Network Object ๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton ๏ Dans l’option Type:, sélectionner Dynamic PAT (Hide) Configuration NAT sur ASDM Dynamic PAT 149 149 Cisco ASA - 18 octobre 2015
  150. 150. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups ๏ S’effectue lors de la création du Network Object ๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton ๏ Dans l’option Type:, sélectionner Static Configuration NAT sur ASDM Static NAT 150 150 Cisco ASA - 18 octobre 2015
  151. 151. Thomas Moegli ๏ Configuration ➔ Firewall ➔ NAT Rules Configuration NAT sur ASDM Vérification des règles NAT 151 151 Cisco ASA - 18 octobre 2015
  152. 152. Cisco ASA AAA 152 Cisco ASA - 18 octobre 2015
  153. 153. Thomas Moegli AccountingAuthorizationAuthentication AAA 153 153 Cisco ASA - 18 octobre 2015
  154. 154. Thomas Moegli ๏ Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans utilisation du protocole AAA ๏ Les périphériques ASA peuvent être configurés pour effectuer l’authentification via : ๏ Une base de donnée locale ๏ Un serveur externe ๏ Les deux AAA sur ASA 154 154 Cisco ASA - 18 octobre 2015
  155. 155. Thomas Moegli Authentification AAA locale ๏ Local AAA utilise une base de données locale pour l’authentification ๏ La base de données locale est configurée sur le périphérique ASA ๏ Idéal pour une petite entreprise qui ne dispose pas d’un serveur dédié ๏ Configuration - Création d’un utilisateur local :
 ๏ Configuration - Activation de l’authentification AAA en utilisant une base locale :
 AAA sur ASA Configuration : Authentification AAA 155 ASA(config)# username name password password [privilege priv-level] ASA(config)# aaa authentication {enable | http | ssh | telnet} console {aaa-svr-name | LOCAL} ASA(config)# username admin password cisco privilege 15 ASA(config)# ASA(config)# aaa authentication enable console LOCAL ASA(config)# aaa authentication http console LOCAL ASA(config)# aaa authentication ssh console LOCAL ASA(config)# aaa authentication telnet console LOCAL ASA(config)# 155 Cisco ASA - 18 octobre 2015
  156. 156. Thomas Moegli ๏ Authentification AAA avec serveur dédié ๏ L’authentification AAA basé sur un serveur dédié est une solution plus extensible ๏ Utilisation d’une base de données externe ๏ Pour communiquer entre le périphérique ASA et la base externe, on utilise les protocoles RADIUS et TACACS+ ๏ Configuration du périphérique ASA pour communiquer avec un serveur externe : ๏ Création d’un groupe de serveurs RADIUS ou TACACS+ :
 ๏ Configuration d’un lien vers un serveur AAA et ajout dans ce groupe :
 ๏ Configuration - Activation de l’authentification AAA en utilisant un groupe de serveurs AAA :
 AAA sur ASA Configuration : Authentification AAA 156 ASA(config)# aaa-server server-tag protocol protocol ASA(config)# aaa-server server-tag [(interface-name)] host {server-ip | name} [key password] ASA(config)# aaa authentication {enable | http | ssh | telnet} console server-tag 156 Cisco ASA - 18 octobre 2015
  157. 157. Thomas Moegli ๏ Configuration de l’authentification AAA via un serveur TACACS+ ainsi qu’une authentification locale ๏ L’authentification locale est utilisé uniquement si le serveur TACACS+ est indisponible AAA sur ASA Configuration : Authentification AAA 157 ASA(config)# username admin password cisco privilege 15 ASA(config)# ASA(config)# aaa-server TACACS-SVR protocol tacacs+ ASA(config-aaa-server-group)# aaa-server TACACS-SVR (dmz) host 192.168.1.2 key cisco123 ASA(config-aaa-server-group)# exit ASA(config)# ASA(config)# show run aaa-server aaa-server TACACS-SVR protocol tacacs+ aaa-server TACACS-SVR (dmz) host 192.168.1.2 key ***** ASA(config)# ASA(config)# aaa authentication http console TACACS-SVR LOCAL ASA(config)# aaa authentication ssh console TACACS-SVR LOCAL ASA(config)# aaa authentication telnet console TACACS-SVR LOCAL ASA(config)# aaa authentication enable console TACACS-SVR LOCAL ASA(config)# 157 Cisco ASA - 18 octobre 2015
  158. 158. Thomas Moegli ๏ Se déconnecter puis se reconnecter ๏ Commandes de vérification : ๏ show running-conf username : Commande pour voir tous les comptes utilisateur ๏ show running-conf aaa : Commande pour voir la configuration AAA ๏ Pour effacer toute la configuration AAA, utiliser la commande clear config aaa AAA sur ASA Vérification : Authentification AAA 158 ASA# show run aaa aaa authentication http console TACACS-SVR LOCAL aaa authentication ssh console TACACS-SVR LOCAL aaa authentication telnet console TACACS-SVR LOCAL aaa authentication enable console TACACS-SVR LOCAL ASA# disable ASA> exit Username: admin Password: ***** Type help or '?' for a list of available commands. ASA> ASA# clear config aaa ASA# show running-conf username ASA# show running-conf aaa 158 Cisco ASA - 18 octobre 2015
  159. 159. Thomas Moegli ๏ Configuration ➔ Device Management ➔ Users/AAA ➔ Users Accounts ๏ L’ajout d’utilisateurs se fait via le bouton Add Configuration AAA via ASDM Ajout d’utilisateurs dans la base de données locale 159 159 Cisco ASA - 18 octobre 2015
  160. 160. Thomas Moegli ๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups ๏ La création d’un groupe se fait dans la section AAA Server Group, via le bouton Add Configuration AAA via ASDM Création d’un AAA Server Group 160 160 Cisco ASA - 18 octobre 2015
  161. 161. Thomas Moegli ๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups ๏ La création d’un groupe se fait dans la section Servers in the Selected Group via le bouton Add ๏ Les paramètres de configuration RADIUS ou TACACS+ s’affichent selon le protocole indiqué à la création du Server Group Configuration AAA via ASDM Ajout d’un serveur au Server Group 161 161 Cisco ASA - 18 octobre 2015
  162. 162. Thomas Moegli ๏ Configuration ➔ Firewall ➔ Users/AAA ➔ AAA Access ➔ Authentication Configuration AAA via ASDM Activation de l’authentification AAA 162 162 Cisco ASA - 18 octobre 2015
  163. 163. Cisco ASA Modular Policy Framework (MPF) 163 Cisco ASA - 18 octobre 2015
  164. 164. Thomas Moegli ๏ MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic et QoS au trafic qui traverse l’ASA ๏ Permet la classification des flux de trafic et l’application de différentes policies aux flux ๏ Cisco MPF utilise trois objets de configuration pour définir les règles : ๏ Class Maps ๏ Définit les critères pour identifier le trafic avec la commande class-map ๏ Policy Maps ๏ Associe des actions au trafic identifié par la Class Map avec la commande policy-map ๏ Service Policies ๏ Rattache les Class et Policy Maps à une interface ou globalement sur toutes les interfaces avec la commande service-policy Modular Policy Framework (MPF) 164 Class Maps Policy Maps Service Policy 164 Cisco ASA - 18 octobre 2015
  165. 165. Thomas Moegli Class Maps • Qu’est ce qu’on analyse ? • Identifie le trafic sur lequel appliquer MPF • Création d’une Class Maps de couche 3/4 avec un ou plusierus critères Policy Maps • Quelles sont les actions à appliquer ? • Création d’une règle pour le trafic de la couche 3 à la couche 7 • Création d’une Policy map contenant plusieurs Class Maps avec leurs actions associées Service Policy • Ou ces règles doivent être appliquées ? • Activation de la Policy Map sur les interfaces • Création d’une Service Policy qui s’applique à une Policy Maps et une interface ou sur toutes les interfaces Modular Policy Framework (MPF) 165 class-map class-name policy-map policy-name service-policy serv-name interface intf-name 165 Cisco ASA - 18 octobre 2015
  166. 166. Thomas Moegli ๏ Configuration d’une ACL Extended pour identifier le trafic ๏ Configurer la Class Map pour identifier le trafic à l’aide de l’ACL configurée précédemment ๏ Configurer la Policy Map pour appliquer les actions à ces Class Maps ๏ Configurer la Service Policy pour rattacher la Policy Map à une interface Modular Policy Framework (MPF) 4 étapes pour configurer MPF sur un ASA 166 ASA(config)# access-list TFTP-TRAFFIC permit udp any any eq 69 ASA(config)# ASA(config)# class-map CLASS-TFTP ASA(config-cmap)# match access-list TFTP-TRAFFIC ASA(config-cmap)# exit ASA(config)# ASA(config)# policy-map POLICY-TFTP ASA(config-pmap)# class CLASS-TFTP ASA(config-pmap-c)# inspect tftp ASA(config-pmap-c)# exit ASA(config-pmap)# exit ASA(config)# ASA(config)# service-policy POLICY-TFTP global ASA(config)# 166 Cisco ASA - 18 octobre 2015
  167. 167. Thomas Moegli ๏ Une Class Map permet d’identifier le trafic de couche 3 et couche 4 ๏ Pour créer une Class Map, utiliser la commande class-map class-map-name. ๏ On passe en mode de configuration Class-Map ๏ Le nom class-default et tout nom qui commence par _internal ou _default sont réservés et ne peuvent être utilisés ๏ Le nom de la Class Map doit être unique et ne peut dépasser 40 caractères Modular Policy Framework (MPF) Class Maps 167 NOTE ๏ Pour le trafic de management à destination de l’ASA, on utilise la commande 
 class-map type management class-map-name 167 Cisco ASA - 18 octobre 2015
  168. 168. Thomas Moegli ๏ En mode de configuration Class Maps, les options de configuration sont : ๏ description : Ajout d’une description à la Class Map ๏ match any : Class Map qui identifie tout le trafic ๏ match access-list access-list-name : Class Map qui identifie le trafic spécifié par une ACL Extended ๏ Pour afficher la configuration d’une Class Map, utiliser la commande Modular Policy Framework (MPF) Class Maps : Mode de configuration 168 description match any match access-list access-list-name show running-config class-map 168 Cisco ASA - 18 octobre 2015
  169. 169. Thomas Moegli ๏ Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action ๏ Etapes ๏ Utilisation de la commande de configuration globale ๏ Le nom de la Policy map doit être unique et ne comporter pas plus de 40 caractères ๏ On passe en mode de configuration Policy Map (config-pmap) ๏ En mode config-pmap, configurer les options : ๏ description : Ajout d’une description à la Policy Map ๏ class : Identifie une Class Map sur laquelle appliquer les actions. (Entre en sous-mode de config) ๏ Assigner les actions pour la classe : ๏ set connection : Définit les valeurs de connexion ๏ inspect : Vérifie le trafic au niveau protocole ๏ police : Définit une limitation de bande passante sur ce trafic Modular Policy Framework (MPF) Policy Maps 169 description class set connection inspect police 169 Cisco ASA - 18 octobre 2015
  170. 170. Thomas Moegli ๏ Pour afficher les informations sur une configuration Policy Map, utiliser la commande :
 show running-config policy-map ๏ Pour supprimer toutes les Policy Maps, utiliser la commande suivante :
 Modular Policy Framework (MPF) Policy Maps : Vérification 170 show running-config policy-map clear configure policy-map 170 Cisco ASA - 18 octobre 2015
  171. 171. Thomas Moegli ๏ Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Service Policy qui se configure avec la commande service-policy ๏ Syntaxe :
 Modular Policy Framework (MPF) Service Policy 171 ASA(config)# service-policy policy-map-name [global | interface intf] ASA(config)# service-policy 171 Cisco ASA - 18 octobre 2015
  172. 172. Thomas Moegli ๏ Pour afficher la configuration des Service Policies, utiliser la commande show service-policy ou 
 show running-config service-policy ๏ Pour supprimer tous les Service Policies configurés, utiliser la commande clear configure service-policy Modular Policy Framework (MPF) Service Policy : Vérification 172 ASA# show service-policy ASA# show running-config service-policy ASA# clear configure service-policy 172 Cisco ASA - 18 octobre 2015
  173. 173. Thomas Moegli ๏ MPF propose trois paramètres par défaut : ๏ Default Class map ๏ Default Policy map ๏ Default Service policy ๏ La configuration inclut également une Class Map par défaut pour le trafic de couche 3/4 que l’ASA utilise par défaut . Cette class-map est appelée inspection_default ๏ class-map inspection_default ๏ match default-inspection-traffic Modular Policy Framework (MPF) Default Class Map 173 class-map inspection_default match default-inspection-traffic 173 Cisco ASA - 18 octobre 2015
  174. 174. Thomas Moegli ๏ La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy Map est appelée global_policy et effectue de l’inspection sur plusieurs protocoles usuels (DNS, FTP, …) ๏ Il ne peut y avoir qu’une seule Policy globale Modular Policy Framework (MPF) Default Policy Map 174 174 Cisco ASA - 18 octobre 2015
  175. 175. Thomas Moegli ๏ Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précédemment ๏ Ce Service Policy s’applique sur toutes les interfaces ๏ Pour modifier la Policy globale, l’administrateur doit aller éditer cette Default Policy, ou la désactiver et appliquer une nouvelle Policy Modular Policy Framework (MPF) Default Service Policy 175 175 Cisco ASA - 18 octobre 2015

×