Support cours : Vos premiers pas avec le pare feu CISCO ASA

Formation Cisco ASA
Formation Vos premiers pas avec
Cisco ASA
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant

Formation Cisco ASA
Présentation générale
Figure qui montre le modèle de pare feu 5540

Formation Cisco ASA
Présentation formateur
▪ Béchir Béjaoui - consultant et formateur indépendant
▪ Mail: me780411@gmail.com
▪ LinkedIn : https://www.linkedin.com/in/bejaoui-06b2452b/

Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: Les premiers pas
Chapitre II: Les objets, groupes d’objets et ACL
Chapitre III: La conclusion

Formation Cisco ASA
Prérequis
▪ Il sera recommandé d’avoir une idée relative au domaine réseau
▪ Il est recommandé d’être familier aux autres produits Cisco routeurs et commutateurs
▪ Avoir des connaissances relatives à l’utilisation et à la configuration des logiciels de
simulation
• Cisco Packet Tracer
• GNS 3
• Le logiciel de virtualisation Virtual Box,
• Le logiciel de virtualisation VMware
• Le logiciel de virtualisation QEMU

Formation Cisco ASA
Public concerné
▪ Les personnes ayant des connaissances de base en terme de réseau, comme les étudiants ou encore
les stagiaires au sein des entreprises, ce pendant, ils n’ont pas encore un background en terme de
gestion de sécurité et des risques au niveau d’une entreprise
▪ Les personnes qui veulent s’initier à la configuration du pare feu ASA
▪ Les personnes qui ont débutés déjà leur carrière en IT et qui veulent passer la certification CCNA
sécurité
▪ Les personnes ayant un niveau d’expertise en domaine IT autre que CISCO tel que les infrastructures
Windows, Linux , Juniper et Huawei et qui veulent avoir des connaissances en terme de configuration
et de gestion des pare feu Cisco ASA

Formation Cisco ASA
Objectifs visés
▪ Le principal objectif de cette formation et de vous assurer un premier contact avec l’environnement des
pare feu ASA
▪ Après avoir suivi cette formation vous serez sensé de connaître
• Les risques et menaces qui se présentent au niveau du réseaux
• A quel niveau le pare feu intervient en général
• Avoir une idée sur les modèles des pare feu introduit pas CISCO
• Découvrir les environnements de configuration des pare feu ASA 5505, 5520 et ASAv

Formation Cisco ASA
Vos premiers pas avec Cisco ASA

Formation Cisco ASA
Les types de menaces réseaux
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Comprendre le risque
▪ Les types de malware
▪ Les méthodes de protection

Formation Cisco ASA
Comprendre le risque
▪ La plupart des principes de sécurité peuvent être retracées à la triade sécuritaire également appelée
l'AIC ou triade CIA, qui est en fait la protection contre:
• La perte de confidentialité « Confidentiality »
• La perte de l'intégrité « Integrity »
• La perte de disponibilité « Availability »
▪ Le risque est inévitable à 100%, cependant, il est possible de le minimiser à travers un ensemble
• Des procédures standards et des règles de gestion de risques
• Des outils tel que les pare feu, les détecteurs d’intrusions IDS « Intrusion Detection Systems »,
les préventeurs d’intrusions IPS « Intrusion Prevention Systems », les solutions antivirus…..
▪ Pour comprendre le risque, il faut s’y mettre à la place des meneurs d’attaques, suivre la même logique
et en tirer les conclusions qui mènent à une bonne vision, cette vision sera traduite en une politique de
sécurité qui doit être appliquée et améliorée en continue

Formation Cisco ASA
Comprendre le risque
▪ Les menaces peuvent être répertoriées sous plusieurs catégories:
Les menaces artificielles:
• Ce sont des menaces telles que les cyber attaques ou installations de logiciels malveillants
• Ces menaces peuvent aussi être involontaires, lorsque les meneurs d’attaque exploitent les niveaux
réduits de connaissances de leurs victimes
Les menaces intentionnelles:
• Ce sont les menaces comme l’accès , la modification ou la suppression des données d’une manière
accidentelle sans l’intention de provoquer les dégâts
Les menaces naturelles:
• Les menaces environnementales qui provoquent des pannes de courant de longue durée
• Les menaces comme le vol, les incidents de feu volontaires et le vandalisme

Formation Cisco ASA
Les types de malware
▪ Un logiciel malveillant Malware est un logiciel qui est installé sur un système à l'insu de l'utilisateur. Il inclut
les
1. Les virus
2. Les vers
3. Les chevaux de Troie
4. Les logiciels espions « Les Spyware »
Les Virus:
• Les virus informatiques provoquent des dommages de milliards de dollars chaque année, ils causent l'échec du
système, du gaspillage de ressources informatiques, de la corruption des données ainsi que l'augmentation des
coûts de maintenance
Les vers:
• Par opposition aux virus, les vers sont autonomes, il s’auto reproduisent et se propagent à d'autres réseaux.
Souvent, en s'appuyant sur des failles de sécurité au niveau des systèmes
• Les vers visent surtout les performances aux niveau du réseau en consommant de la bande passante, cependant,
les virus corrompent ou modifient surtout les fichiers sur un ordinateur cible

Formation Cisco ASA
Les types de malware
Les chevaux de Troie:
• Contrairement aux virus informatiques et aux vers, les chevaux de Troie ne tentent pas de s'injecter dans d'autres
fichiers ou de s’ auto propager.
• Ils visent essentiellement les informations personnelles des utilisateurs
Les attaques de mémoire Stackoverflow:
• Un débordement de mémoire vive qui se produit quand une application reçoit des données inattendues qu‘elle
ne peut pas traiter
• Ce qui entraîne une erreur qui provoque l’écrasement des données vu que les données inattendues débordent
vers une autre zone mémoire
Le Spyware:
• Le Spyware est un logiciel qui s'installe sur un système sans le consentement, préavis ni contrôle de l'utilisateur.
• Le Spyware n'affiche pas de symptômes, il se trouve en arrière-plan, il collecte les informations et ne se fait pas
découvert, l’un des Spyware les plus connus est le Keylogger

Formation Cisco ASA
Les méthodes de protection
▪ La protection contre les menaces provoquées par les Malware s’effectuent sur plusieurs niveaux, en parle
souvent des stratégies de défenses en profondeur qui se fassent sur plusieurs niveaux d’un système
d’information, cette stratégie comprend
• Utilisation des pare feu au niveau du réseau
et des hôtes
• Mise à jour les systèmes d’une manière
périodique
• La réduction des surfaces d'attaques
• La formation des utilisateurs
• La réduction d'utilisation des comptes
administrateurs
• L’assurance d’un mécanisme de protection
en temps réel
• La vérification périodique des machines via des sessions d’audit

Formation Cisco ASA
Ce qu’on a vu
▪ Comprendre le risque
▪ Les types de malware
▪ Les méthodes de protection

Formation Cisco ASA
Les types de pare feu
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ La définition du pare feu
▪ Les catégories des pare feu

Formation Cisco ASA
La définition du pare feu
▪ Un pare-feu peut être définit comme un système de protection du réseau qui a comme mission la surveillance et le
contrôle du trafic réseau entrant et sortant en fonction des règles de sécurité prédéterminées
▪ Le premier type de pare feu employait une sorte de filtre à paquets qui examine les adresses réseau et les ports
relatifs au paquet transmit et détermine si ce paquet doit être autorisé ou bloqué.
▪ Il permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones
sont séparées suivant le niveau de confiance qu'on leur porte.
▪ Un pare-feu établit généralement une barrière entre un réseau interne sécurisé d’une part et un autre réseau
extérieur tel que l'Internet d’autre part
▪ Le filtrage se fait selon divers critères. Les plus courants sont :
• L'origine ou/et la destination des paquets exemple les adresses IP, les ports, les protocoles utilisés, les
interfaces réseau…
• La structure des données exemple la taille, la segmentation, la nature de chaque fragement

Formation Cisco ASA
Les catégories des pare feus
▪ Les pare feus peuvent être catégorisés selon deux approches, une approche domaine d’application et une approche
fonctionnelle
▪ Selon l’approche domaine d’application, les pare feus peuvent être divisés en deux principales classes à savoir:
• Les pare feu réseau, ils se présentent généralement sous forme d’un hardware qui se positionne entre le
réseau interne et le réseau externe, exemple les pare feu ASA de CISCO, les pare feu FORTIGET, les pare feu
SRX de JUNIPER…..

Formation Cisco ASA
▪Les pare feus installés aux niveau des hôtes, tel que les pare feus de Windows et les pare feu de Linux
Figure qui montre le pare feu au niveau de Windows

Formation Cisco ASA
▪Et les pare feu de Linux, les fameux IP Tables
Figure qui montre une interface graphique d’un pare feu Linux

Formation Cisco ASA
▪Selon l’approche fonctionnelle les pare feus peuvent être divisés en plusieurs classes à savoir:
Les pare feu sans état:
• Le but fondamental d'un filtre de pare feu sans état est d'inspecter les composants des paquets entrants/
sortants, puis effectuer les actions qui correspondent aux critères spécifiques.
• L'utilisation typique d'un filtre pare-feu sans état est de protéger les processus de routage contre les
paquets malveillants ou non fiables
Les pare feu à état:
• De point de vue pratique, un pare feu à état est capable d’indiquer à quelle étape une connexion TCP est
active ou non, synchronisée ou non
• Il peut indiquer si la MTU « Maximum Transmission Unit » a changé et quels sont les paquets sujet de
fragmentation, etc.
• Il est capable d’observer les flux du trafic de bout en bout
• Il est capable aussi d’ implémenter les diverses fonctions de sécurité IP IPsec telles que les tunnels et le
cryptage.

Formation Cisco ASA
Les pare feu basés sur l’identification:
Ce sont des pare feu qui contrôlent le trafic réseau à base de filtrage par utilisateur et non pas par adresse IP
ou adresse MAC, le pare feu AUTHP est un exemple de pare feu basé sur l’identification
Figure qui représente le pare feu au niveau du réseau

Formation Cisco ASA
Les pare feu basés sur la couche application:
Exemple de pare feu qui fournit cette fonctionnalité est le pare feu Windows
Figure qui représente le filtrage sur la base des applications sous Windows

Formation Cisco ASA
Les pare feu captif Captive Portal:
Les portails captifs sont utilisés principalement dans les réseaux sans fil ouverts où les utilisateurs reçoivent un
message de bienvenue en les informant des conditions d'accès (ports autorisés, responsabilité, etc.). Les
administrateurs ont tendance à le faire pour que leurs propres utilisateurs prennent la responsabilité de leurs
actions
Figure qui représente l’interface web du portal Captive du type Zentyal

Formation Cisco ASA
Ce qu’on a vu
▪ La définition du pare feu
▪ Les catégories des pare feu

Formation Cisco ASA
Le pare feu Cisco ASA
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Evolution des pare feu CISCO
▪ Domaines d’applications des pare feu ASA
▪ Stratégies de défenses

Formation Cisco ASA
Evolution des pare feu CISCO
▪ Bien avant 2005 Cisco introduisait le pare feu PIX « Private Internet Exchange » conçu comme équivalent
fonctionnel d'un PBX IP qui à comme fonction de résoudre la pénurie d'adresse IP enregistrées.
▪ Ce là à était au moment où NAT « Network Access Translation » est à peine sortie des stades d’études et
d’expérimentation
▪ Adaptive Security Appliance est un pare feu réseau introduit par Cisco en 2005 pour remplacer Cisco PIX
▪ ASA continue d'utiliser le système d’exploitation de base de PIX appelé FINESE « Fast Internet Service Exclusive » ,
mais lorsque le logiciel ASA est passé de la version majeure 7.X à 8.x, il est passé de la plate-forme du système
d'exploitation de FINESE/ Pix OS à la plate-forme Linux.
▪ ASA intègre également les fonctionnalités du système de prévention d'intrusion Cisco IPS 4200 et le concentrateur
Cisco 3000 VPN
▪ Sur le plan Hardware ASA continue comme PIX à utiliser l’architecture Intel 80x86

Formation Cisco ASA
Domaines d’application des pare feu ASA
▪ Les pares feus Cisco ASA protègent contre trois catégories de cyber attaques:
Attaques de reconnaissance:
• Un type d'attaque dans le cadre du quel un intrus y pénètre au niveau du système pour recueillir des informations
sur les vulnérabilités
• Les attaques de reconnaissance prennent plusieurs formes tel que , les Torjon, le Phishing, les
courriers indésirables, l’ingénierie de réseaux sociaux, les liens hypertexte malveillants ou encore les
applications antivirus gratuites
Attaques d'accès:
• Ce type d’attaques vient souvent après avoir effectué une série d’attaques de reconnaissance
• Les types d'attaques d'accès sons souvent des attaques de mot de passe, d’exploitation de niveaux de privilège
élevés, de redirection du port, d’attaque de l'homme au milieu « Man in the Middle »

Formation Cisco ASA
Attaques DoS Denial Of Service :
• Une attaque de déni de service est une cyber-attaque où l'auteur cherche à rendre une ressource réseau
indisponible pour ses utilisateurs en perturbant temporairement ou indéfiniment les services d'un hôte connecté
à Internet.
• Le déni de service est généralement accompli en inondant la ressource ciblée avec des demandes superflues
fictives empêchant certaines ou toutes les demandes légitimes d'être remplies
Figure illustrative de type d’attaque DDOS

Formation Cisco ASA
▪ Les pare feus CISCO ASA offrent des fonctionnalités pour se protéger contre ces attaques:
La permission et le déni du trafic réseau:
• Dans ce cas, la permission ou le déni sont concrètement mis en œuvre à travers l’application des listes de
contrôle d’accès sur les interfaces du pare feu dans les deux directions de flux à savoir entrants ou sortants.
• Il est possible d’appliquer des règles aux trafiques non IP via l’application des listes d’accès de type EtherType
Liste d'accès Ether Type
L’application de NAT Network Access Translation:
• Etant donné la non routabilité des adresses IP privés, le rôle de NAT est de rendre possible un tel accès via une
traduction des adresses IP utilisées au niveau réseau local en adresse IP publiques louées du FAI « Fournisseur
d’accès internet
Configuration basique de NAT
La protection des fragmentations IP:
• L’attaque de fragmentation IP est une procédure de communication dans laquelle les datagrammes IP sont
divisés en petits paquets, transmis sur un réseau puis remontés dans le datagramme original
Notions sur la fragmentation IP

Formation Cisco ASA
▪ Les pare feu CISCO ASA offrent des fonctionnalités pour se protéger contre ces attaques:
L’utilisation des AAA à travers les trafiques:
• AAA est l’abréviation de « Authentication, Authorization and Accounting », c’est un protocole qui règle les
procédures d’authentification et autorisation au niveau du réseau
Cisco ASA et configuration AAA
Le traitement des flux Web HTTP/HTTPS et FTP:
• Les listes de contrôle d’accès « ACL » montrent leurs limites quant il s’agit de contrôle du trafic web, en raison de
la taille et de la nature dynamique du trafic Web
• Le pare feu ASA dédie un serveur proxy Web baptisé Cisco Web Security Appliance dédié pour un contrôle plus
raffiné des flux Web
Cisco Web Security Appliance
L’inspection des applications:
L’inspection des applications est nécessaire pour les services qui intègrent des informations d'adressage IP dans
leurs paquets de données, CISCO ASA offre des inspections d’application sur plusieurs niveaux
Inspections d'application

Formation Cisco ASA
L’application des politiques QoS:
• Certains trafics réseau, tels que les trafics relatifs à la transmission audio visuelle, ne peuvent tolérer de longs
temps de latence. QoS est une technologie qui permet de préciser la priorité à ces types de trafic
Configuration de QoS pour le pare feu ASA
L’application des limites de connexions TCP/UDP:
• ASA utilise un mécanisme d’inspection à échelle rudimentaire, qui protège les systèmes internes d'une attaque
DoS tel que TCP SYNFLOOD en empêchant toute forme de connexions embryonnaires qui sont des demandes de
connexion qui n’ont pas terminés la procédure de HAND CHECK nécessaire
Application des limites pour le pare feu ASA
La détection d’attaques d’intrusion:
• La fonction de détection de menace de numérisation détermine quand un hôte est sujet d’analyse, la fonction
IDS d'analyse ASA maintient une base de données dynamique qui contient des statistiques qui servent à
effectuer des analyses en temps réel.

Formation Cisco ASA
Le contrôle des trafic BOTNET:
• Le Filtre de trafic de Botnet vérifie les connexions entrantes et sortantes contre une base de données dynamique
de noms de domaine et d'adresses IP suspectes puis enregistre toute activité douteuse.
• Les logiciels malveillants qui tentent des activités de réseau tel que l'envoi de données privées peuvent être
détectés par le filtre de trafic Botnet
Cisco ASA et Botnet
L’application de VPN pour la sécurisation de connexions:
• ASA fonctionne comme un point de terminaison de tunnel bidirectionnel à travers une connexion sécurisée
s'appelle un tunnel.
• ASA utilise des protocoles de tunnel pour négocier des paramètres de sécurité, créer et gérer des tunnels,
encapsuler des paquets, les transmettre ou les recevoir à travers le tunnel
Les filtres VPN pour le pare feu ASA

Formation Cisco ASA
Stratégies de défenses
▪ Avant d’entamer les stratégies de défense, il faut noter que les pare feu ASA fonctionnent selon deux modes:
Le mode routé Routed:
• En mode routé, le pare feu ASA est considéré comme un saut de routeur dans le réseau
Le mode transparent:
• En mode transparent, le pare feu ASA agit comme une un pare-feu discret, dans ce cas le pare feu ASA se
connecte au même réseau au niveau de ses interfaces intérieures et extérieures
• Un pare-feu transparent est aussi utilisé pour simplifier la configuration réseau et ne pas tirer l’attention aux
hauteurs d’attaques qu’un pare feu existe déjà au niveau du réseau
▪ Comme une première stratégie, il est possible de partitionner un pare feu ASA en plusieurs périphériques virtuels,
appelés contextes de sécurité.
▪ Chaque contexte est un dispositif indépendant, avec sa propre politique de sécurité, ses interfaces et ses
administrateurs. Les contextes multiples sont similaires à ceux de plusieurs périphériques autonomes.
▪ La configuration globale du système n'inclut aucune interface réseau ou paramètres pour elle-même. Plutôt lorsque le
système accède aux ressources du réseau, il utilise l'un des contextes désignés comme contexte administratif

Formation Cisco ASA
Stratégies de défenses
▪ Comme une deuxième stratégie, il est possible d’utiliser plusieurs pare feu ASA ensembles comme une seule unité
logique souvent connue sous le nom de Cluster
▪ Un Cluster fournit tous la commodité d'un seul périphérique de point de vue de gestion et d’ intégration dans un
réseau
▪ Toute la configuration sera faite uniquement sur l'unité maître, la configuration est ensuite répliquée aux autres
unités esclaves
Figure illustrative d’une topologie adoptant un mécanisme de pare feu en mode de balancement Failover

Formation Cisco ASA
Ce qu’on a vu
▪ Evolution des pare feu CISCO
▪ Domaines d’applications des pare feu ASA
▪ Stratégies de défenses

Formation Cisco ASA
La simulation ASA pour GNS3 1.x
sous Windows
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ La simulation de ASA avec GNS3 1.x sous Windows

Formation Cisco ASA
La simulation de ASA avec GNS3 1.x sous Windows
▪ Cette méthode est idéale pour les ordinateurs à ressources limitées en terme de micro processeur et
mémoire vive
▪ Elle nécessite les éléments suivants:
• Le fichier assistant d’installation GNS3-All-In-One
• Le fichier de simulation de mémoire pour ASA à savoir asa842-initrd.gz
• Le fichier de simulation du noyau pour ASA à savoir asa842-vmlinuz
• Le fichier FLASH de simulation d’espace de stockage
• La clé d’activation

Formation Cisco ASA
Ce qu’on a vu
▪ La simulation de ASA avec GNS3 1.x sous Windows

Formation Cisco ASA
Simulation ASA pour GNS3 2.x
sous Windows
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Simulation de ASA pour GNS3 2.x

Formation Cisco ASA
Simulation de ASA pour GNS3 2.x
▪ Cette méthode moins utilisée par apport à la première vu quelle nécessite beaucoup plus de ressources
▪ Contrairement à la version précédente, la virtualisation de ASA se base sur VMWare et non pas QEMU
▪ Cette simulation nécessite les éléments suivants:
• Le fichier d’installation GNS3-All-In-One
• La machine virtuelle GNS3 VM
• Le fichier ciscoasav.gns3a
• Le disque virtuel ASAv
• La clé d’activation

Formation Cisco ASA
Ce qu’on a vu
▪ Simulation de ASA pour GNS3 2.x

Formation Cisco ASA
Ajout de l’interface graphique ASDM
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Ajout de l’interface graphique ASDM

Formation Cisco ASA
Ajout de l’interface graphique ASDM
▪ ASDM est « Cisco Adaptative Security Device Manager » c’est l’interface graphique qui permet de configurer
et de gérer le pare feu ASA
▪ Voici un lien vers le guide d’utilisation Guide d'utilisation de ASDM
▪ Pour le cas de simulation GNS3 il sera nécessaire
• Le fichier binaire asdm-x.bin
• Un serveur TFTP exemple tftpd32-64
• La machine virtuelle java installée
• Une carte réseau de bouclage
Une figure qui montre l’interface graphique ASDM

Formation Cisco ASA
Ce qu’on a vu
▪ Ajout de l’interface graphique ASDM

Formation Cisco ASA
Simulation de ASA avec GNS3
sous Linux
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Simulation de ASA avec GNS3 sous Linux

Formation Cisco ASA
Ce qu’on a vu
▪ Simulation de ASA avec GNS3 sous Linux

Formation Cisco ASA
Gestion des fichiers de configuration
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Accès, modification et sauvegarde de configurations

Formation Cisco ASA
▪ Il existe deux instances de configuration au niveau du pare feu Cisco ASA:
• La configuration initiale startup-configuration
• La configuration courante running-configuration
▪ Toute commande entrée en cours est écrite directement dans running-config et prend effet immédiatement.
▪ Il est possible de voir les paramètres de cette configuration à travers la commande show runnig-configuration à
partir du mode privilégié.
▪ Puisque la configuration en cours d'exécution est écrite dans la mémoire vive RAM, si l'appareil est soudainement
mis hors tension, il perdra toute modification de configuration effectuée qui n'était pas précédemment enregistrée
▪ Pour enregistrer la configuration en cours d'exécution, il faut utiliser l’une des commandes copy runnig-
configuration startup-configuration ou write memory, ce qui permet à la configuration courante d’être
sauvegardée au niveau de la mémoire flash du pare feu
▪ Ou exporter les configurations vers l’extérieur de la mémoire Flash à l’aide d’un serveur TFTP

Formation Cisco ASA
Ce qu’on a vu
▪ Accès, modification et sauvegarde de configurations

Formation Cisco ASA
Présentation des modes d'accès
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Les modes d’accès

Formation Cisco ASA
▪ Il existe 4 principaux niveaux de modes d’accès au niveau de l’invite de la CLI ASA
Monitor mode:
Il présente l’invite monitor>, c’est un mode spécial qui vous permet de mettre à jour l'image sur le réseau ou
d’ effectuer le recouvrement de mot de passe. Le mode est accessible par le maintient de la touche Echappe ou
Pause lors de la mise sous tension du pare feu
Mode non privilégié:
Il présente l’invite ciscoasa>, il est disponible lors du premier accès au pare feu. Ce mode offre une vue restreinte
de sécurité. Il n’est pas possible de configurer n'importe quoi dans ce mode
Mode privilégié:
Il présente l’invite ciscoasa#, Permet de modifier les paramètres actuels. Toutes les commandes non privilégiée
fonctionnent également dans ce mode, Vous pouvez voir la configuration courant en utilisant la commande show
running-config mais, vous ne pouvez rien configurer jusqu'à maintenant, vous devez accéder au mode de
configuration

Formation Cisco ASA
Mode configuration :
Il présente l’invite ciscoasa(config)#. Ce mode est parfois appelé souvent le mode de configuration globale car il
permet d’effectuer des modifications à l’échelle globale. Ce mode mène aussi à des sous modes de configuration
encore plus spécifiques tel que le mode de configuration des interfaces ciscoasa ciscoasa(config-if)#
Résumé des modes d’accès au niveau du pare feu CISCO ASA

Formation Cisco ASA
Ce qu’on a vu
▪ Les modes d’accès

Formation Cisco ASA
Les niveaux de sécurité
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Présentation de la notion niveaux de sécurité
▪ Enumération des niveaux de sécurité

Formation Cisco ASA
Présentation de la notion niveaux de sécurité
▪ Puisque chaque interface du pare-feu représente un réseau spécifique ou une zone de sécurité bien déterminée, en
utilisant les niveaux de sécurité il est possible d’assigner des niveaux de confiance différents aux divers réseaux
appelés également zones de sécurité
▪ Les niveaux de sécurité sont représentés par des nombres entre 0 et 100
▪ La première règle principale appliquée dans le cadre des niveaux de sécurité, c’ est qu'une interface ou une zone de
sécurité avec un niveau supérieur peut accéder à une interface avec un niveau inférieur
▪ Une interface avec un niveau inférieur ne peut pas accéder à une interface avec un niveau relativement plus élevé,
sans l'autorisation explicite appliquée à travers d'une règle de sécurité souvent effectuée à l’aide d’une ACL « liste
de contrôle d'accès »
▪ Une exception à la règle générale concerne les flux entrants/sortants de la même transaction, qui permet un
échange réciproque du trafic sans éventuel blocage des flux en provenance des zones de sécurité dont le niveau de
sécurité est inférieur
▪ Au cas d’égalité des niveaux de sécurité de deux ou plusieurs zones de sécurité, l’échange n’est possible qu’après
l’exécution de la commande same-security-traffic permit inter-interface

Formation Cisco ASA
Enumération des niveaux de sécurité
▪ Voici à présent les différents niveaux de sécurité
Le niveau de sécurité 0:
• Il s'agit du niveau de sécurité le plus bas attribué par défaut aux interfaces dites outside du pare-feu
• Ce niveau de sécurité est normalement affecté à l'interface connectée à Internet.
• Cela signifie que tous les périphériques connectés à Internet ne peuvent pas avoir accès à n'importe quel
réseau derrière le pare-feu, sauf autorisation explicite à l’aide d'une règle ACL
Zone de sécurité OUTSIDE

Formation Cisco ASA
Le niveau de sécurité de 1 à 99:
• Ces niveaux de sécurité peuvent être affectés principalement aux zones réseaux dites démilitarisées ou DMZ
où le niveau de confiance est partiel
• On affecte typiquement le numéro 50 pour représenter une zone de confiance partielle
Zone de sécurité zone démilitarisée DMZ

Formation Cisco ASA
Le niveau de sécurité de 100:
C'est le niveau de sécurité est le plus élevé, il est attribué par défaut à l’interface inside du pare-feu
C'est le niveau de sécurité le plus sûre, il doit être assigné en conséquence au réseau d'entreprise interne derrière le
pare feu.
Zone de sécurité INSIDE

Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la notion niveaux de sécurité
▪ Enumération des niveaux de sécurité

Formation Cisco ASA
Configuration initiale de ASA
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Configuration initiale du pare feu ASA

Formation Cisco ASA
Configuration initiale du pare feu ASA
▪ Il existe pratiquement six étapes pour mener une configuration initiale du pare feu ASA à savoir:
• Configurer le mot de passe du mode privilégié
• Configurer la ligne de commande à distance
• Attribuer un nom au pare feu
• Configurer les interfaces du pare feu
• Configurer le routage par défaut au coté extérieur outside
• Configurer le temps
Configuration de mot de passe à niveau privilégié:
• Par défaut, il n'y a pas de mot de passe pour accéder au pare-feu ASA, donc la première étape avant de faire
autre chose il faut configurer un mot de passe à niveau privilégié
ciscoasa(config)# enable password pa$$w0rd
Configuration de la gestion de la ligne de commande à distance:
• Pour activer SSH sur le pare-feu, il faut d'abord créer un nom d'utilisateur / mot de passe pour
l'authentification, puis générer la clé de cryptage RSA
ciscoasa(config)#username bechir password pa$$w0rd
ciscoasa(config)#aaa authentication ssh console LOCAL
ciscoasa(config)# crypto key generate rsa modulus 1024

Formation Cisco ASA
• Il est possible aussi de spécifier une liste des hôtes qui peuvent y accéder via cette connexion SSH et ce là à
travers les commandes
ciscoasa(config)#ssh @IP_interne 255.255.255.255 inside
ciscoasa(config)#ssh @IP_externe 255.255.255.255 outside
ciscoasa(config)#ssh @IP_DMZ 255.255.255.255 DMZ
Configuration du nom de hôte hostname:
• Le nom d'hôte par défaut pour les pare feu Cisco ASA est ciscoasa. Il est recommandé de configurer un nom
d'hôte unique pour un nouveau pare-feu

Formation Cisco ASA
Configuration des interfaces:
• Les interfaces du pare feu Cisco ASA sont numérotées Ethernet0/0, Ethernet0/1, Ethernet0 / 2 etc.
Configuration de l’interface outside:
smartandskilledFW(config)#int Ethernet0/0
smartandskilledFW(config)#nameif outside
smartandskilledFW(config)#no shutdown
smartandskilledFW(config)#ip address 100.0.0.1
Configuration de l’interface DMZ:
smartandskilledFW(config)#nameif DMZ
smartandskilledFW(config)#security-level 50
Configuration de l’interface inside:
smartandskilledFW(config)#nameif intside

Formation Cisco ASA
Voici la figure qui représente la topologie à configurer
Figure qui montre la topologie à configurer

Formation Cisco ASA
Configuration du routage statique par défaut:
• Il est possible aussi de configurer le routage par défaut au niveau de l’interface externe pour assurer le
transfert du trafic
smartandskilledFW(config)#route outside 0.0.0.0 0.0.0.0 200.0.0.254 Adresse du saut suivant
Configuration du temps:
• Il est possible de configurer le temps au niveau du pare feu ASA pour des buts de synchronisation, dans ce cas
Il aura deux alternatives à savoir la configuration directe du pare feu ou la synchronisation avec un serveur NTP
« Network Time Protocol » server
Option1:
smartandskilledFW(config)#clock set 12:53:00 21 june 2017

Formation Cisco ASA
Option2:
smartnskilledFW(config)# ntp server 10.1.23.45 source inside
Il est possible aussi de sécuriser la connexion entre le pare feu ASA et le serveur NTP
smartnskilledFW(config)# ntp authenticate
smartnskilledFW(config)# ntp authentication-key 32 md5 secretkey1234
smartnskilledFW(config)# ntp trusted-key 32
smartnskilledFW(config)# ntp server 10.1.2.3 key 32 source inside
Dans ce cas la clé secrète doit être partagée par les deux équipements à savoir le pare feu et le serveur NTP

Formation Cisco ASA
Ce qu’on a vu
▪ Configuration initiale du pare feu ASA

Formation Cisco ASA
Un petit tour ASDM
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Présentation de l’interface graphique ASDM

Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ ASDM « Adaptative Security Device Manager » met le focus sur deux principaux axes à savoir:
• La configuration
• Le monitoring
▪ La configuration du pare feu ce fait selon deux modes à savoir:
• Méthode globale assistée à travers les Wizard
• Méthode manuelle détaillée à travers l’onglet Configuration

Formation Cisco ASA
▪ ASDM fournit quatre types d’assistants de configuration Wizard à savoir:
L’assistant de configuration initiale Setup Wizard:
• Il permet l’initialisation de configuration du pare feu, comme le nom du pare feu, le nom du domaine, le secret, les
propriétés des interfaces, la configuration du NAT « Network Access Translation », la configuration HTTP, la mise à
jour du système et il clôture avec un sommaire des modifications
L’assistant de configuration VPN VPN Wizard:
• Il propose quatre formes de configurations relatives à:
✓ La configuration VPN Site-To-Site
✓ La configuration VPN AnyConnect
✓ La configuration VPN Client
✓ La configuration IPSEC
L’assistant de configuration de hautes disponibilités et des balancements HA and Scalability Wizard
• Il permet de configurer les pare feu ASA en mode cluster, il n’est disponible sous certaines licences non basiques

Formation Cisco ASA
L’assistant de configuration des communications unifiées Unified Comunication Wizard
• Il permet de configurer les modes de communications média tel que les conversations téléphoniques, il nécessite
au moins la configuration de deux interfaces
L’assistant de configuration de capture de paquets Packet Capture Wizard
• Cet assistant permet la configuration de la fonctionnalité de capture et d’analyse des trafics entrants et sortants,
il permet aussi la sauvegarde des analyses effectués
▪ L’onglet de configuration propose le paramétrage identique proposé par les Wizard mais sa fournir de l’assistance
pas à pas tel que proposé par les Wizard
▪ Il est possible de lancer les Wizard à partir de l’interface de configuration
▪ Le mode de configuration propose aussi des paramétrages qu’on peut pas trouver en mode assisté
tel que les paramétrages relatifs au queue de priorités, les configurations SSL et la gestion des certificats, la
configuration des options de démarrages

Formation Cisco ASA
▪ Outre que la configuration, le monitoring et le contrôle est le deuxième volet important proposé par l’interface ASDM
▪ L’interface de ADSM est conçue à ce qu’elle fournit le maximum des informations nécessaires en une seule page web
ASDM adopte le mode graphique modulaire pour représenter ces informations
▪ Le contrôle et la supervision du système se fait sur deux niveaux
• Un niveau global proposé par l’onglet Home
• Un niveau détaillé proposé au niveau de l’onglet Monitoring

Formation Cisco ASA
▪ Au niveau onglet Home ASDM propose
• Des informations générales sur l’appareil
• Des informations sur les licences
• L’état des ressources RAM/CPU
• L’état du trafic et des interfaces
• Les derniers journalisations SysLog du pare feu
▪ Le mode Home propose aussi des informations sur l’infrastructure réseau
• Les statistiques du réseau
• Les taux de refus de paquets
• Les taux des attaques SYN FLOOD possibles
• Les top 10 règles d’accès appliquées
• Les top 10 état d’usage services, sources, destinations, utilisateurs
• Les top 10 serveurs protégées contre les attaques SYN FLOOD
• Les top 200 hôtes sous le contrôle du pare feu

Formation Cisco ASA
▪ L’onglet Monitoring quant à lui, il représente des statistiques qui concernent essentiellement
• Les connexions VPN:
✓ Les connexions VPN Site-To-Site
✓ Les connexions VPN Clients
✓ Les tunnels IPSEC
• Le routage:
✓ Les LSA ou état de lien d’annonce « Link State Advertisements »
✓ Les voisins OSPF
✓ Les voisins EIGRP
✓ Les routes
• Les propriétés diverses du système
✓ Les processus par CPU
✓ L’audit des IP
✓ Le cache DNS
✓ L’accès au pare feu
▪ Ainsi que la configuration et le paramétrage de la journalisation

Formation Cisco ASA
▪ Le menu Tools représente un ensemble d’utilités accès intéressantes comme
• L’assistance à l’utilisation des outils comme Packet Tracer, Ping et Trace Route
• La gestion des fichiers situé au niveau du pare feu en mode graphique
• La gestion des mises à jour
• Les opération de sauvegarde et de restauration des fichiers de configuration
• La possibilité d’intégrer des Sniffer comme Wire Shark à ASDM pour plus de contrôle des paquets

Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de l’interface graphique ASDM

Formation Cisco ASA
sous Packet Tracer
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Quelques remarques à propos de ASA 5505 et Packet
Tracer
▪ Simulation de ASA 5505 sous Packet Tracer

Formation Cisco ASA
Quelques remarques à propos de ASA 5505 et Packet Tracer
▪ Cisco ajoute un élément pare feu ASA 5505 à partir de la version 6 de Packet Tracer qui admet les propriétés
suivantes
• Le par feu ASA 5505 est utilisé dans les réseaux de petites tailles
• Le pare feu ASA 5505 ne permet pas la configuration de contextes multiples
• En mode transparent, il est possible de configurer jusqu’à 8 ponds de groupes « Bridge Group »
• Chaque pond de groupe « Bridge Group » peut contenir jusqu’à 4 VLANs
• Il supporte l’utilisation des adresses IPV6
• Les interfaces sont uniquement utilisées à travers les VLANs qui représentent les zones réseaux
▪ La simulation sous Packet Tracer représente des vraies limites:
• ASDM « Adaptative Security Device Manager » n’est pas intégrée
• Il n’est possible d’utiliser la commande nameif que seulement pour attribuer au plus deux noms
d’interfaces
• Un grand ensemble de commandes est absent exemple la création de groupes d’objets est réduite à la
création des objets réseaux seulement sous Packet Tracer
• La licence utilisée sous Packet tracer est basique, par conséquent, il n’est pas possible de
configurer certaines fonctionnalités comme le balancement « Failover Cluster »

Formation Cisco ASA
▪ Packet Tracer présente déjà deux VLANs préconfigurés à savoir:
• Le VLAN 1 qui représente le réseaux interne, il est nommé inside
• Le VLAN 2 qui représente le réseaux externe, il est nommé outside
▪ Le VLAN 1 est préconfiguré avec l’adresse 192.168.1.1
▪ Le VLAN 2 est préconfiguré pour avoir une adresse à partir du serveur DHCP
appartenant au réseau externe
▪ Le pare feu ASA est configuré comme serveur DHCP pour servir les interfaces et les VLANs
faisant partie du réseau interne
▪ Le contrôle de NAT « Network Access Translation » est actif par défaut, ce qui force la configuration de NAT
même lorsqu'il s’agit d’utilisation des adresses privés du coté du réseau externe
Quelques remarques à propos de ASA 5505 et Packet Tracer

Formation Cisco ASA
Simulation de ASA sous Packet Tracer
▪ Voici à présent la topologie crée sous Packet Tracer
▪ Il faut configurer la NAT « Network Access Translation »
smartnskilledFW(config)# object network net-192.168.0
smartnskilledFW(config-object-network)# subnet 192.168.0.0 255.255.255.0
smartnskilledFW(config-object-network)# nat (inside,outside) dynamic interface
smartnskilledFW(config)#exit

Formation Cisco ASA
Simulation de ASA sous Packet Tracer
▪ Voici à présent la topologie crée sous Packet Tracer
▪ Il faut aussi configurer l’inspection d’application pour le trafic ICMP et le trafique Web
smartnskilledFW(config)# class-map global-class
smartnskilledFW(config)# match default-inspection-traffic
smartnskilledFW(config)# policy-map GLOBAL
smartnskilledFW(config)# class global-class
smartnskilledFW(config)# inspect icmp | icmp http
smartnskilledFW(config)# service-policy GLOBAL global

Formation Cisco ASA
Ce qu’on a vu
▪ Quelques remarques à propos de ASA 5505 et Packet
Tracer
▪ Simulation de ASA 5505 sous Packet Tracer

Formation Cisco ASA
Simulation de ASAv sous VMware
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Enumérer Avantages/Désavantages
▪ Préparation de ASAv sous VMware

Formation Cisco ASA
Enumérer Avantages /Désavantages
▪ Les Avantages
• Utiliser les dernières versions de ASA sans avoir l’obligation d’utiliser GNS3 2.x pour des raisons
✓ La familiarité avec l’outil VMware plutôt que GNS3 2.x
✓ Le facteur consommation des ressources
✓ Seule la version 8(4).2 qui existe en mode d'émulation QEMU
• L’équipe GNS3 déclare que la version 8(4).2 montre une certaine instabilité
• Pour le cas de ASAv sous VMware la simulation beaucoup plus stable
• Pour le cas de passage de CCIE, il faut compter sur les images IOSv L2/L3et ASAv plutôt que les images
émulées dans un contexte GNS3
• Pour le cas d’utilisation des routeurs, des commutateurs et des hôtes réels, dans ce cas, il est possible de
simuler ASA avec un hôte équipé des cartes réseaux
▪ Les désavantages
✓ Le mode de tape est QWERTY
✓ Pour les machines à ressources limitées il sera difficile de choisir cette option

Formation Cisco ASA
Ce qu’on a vu
▪ Enumérer Avantages/Désavantages
▪ Préparation de ASAv sous VMware

Formation Cisco ASA
La notion des objets
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Présentation de la notion d’objets
▪ Les types d’objets
▪ Opérations sur les objets

Formation Cisco ASA
Présentation de la notion d’objets
▪ Avant de définir le terme d’objets, il faut imaginer la situation des administrateurs au niveau d’un réseau énorme avec des
centaines d'hôtes protégés par un Pare-feu.
▪ L’application des règles à des centaines d’hôtes dans un environnement distribué dont la structure est ramifiée constitue
une tâche fastidieuse même pour un groupe d’administrateurs réseau
▪ Pour y remédier Cisco a introduit la notion d’objet et groupe d’objets qui permet à l'administrateur de pare-feu à
regrouper des objets tels que des hôtes, des réseaux, des ports, etc. dans des objets identifiables par un nom unique
▪ Ces objets peuvent ensuite être utilisés au niveau des listes ACLs ou encore au niveau des processus NAT pour identifier
les adresses relatives aux réseaux internes à traduire
▪ En outre, tout les changements seront effectués au niveau de l’objet et seront automatiquement appliqués au niveau de
la liste d'accès ACL ou le processus NAT en question
▪ Il n’est pas possible d’ effacer un objet tant qu’il est utilisé par une autre ressource tel que une liste ACL ou un processus
NAT

Formation Cisco ASA
Les types d’objets
▪ Il existe deux types d’objets à savoir:
Réseau:
• Utilisé pour regrouper les hôtes ou les sous-réseaux, souvent utilisé au niveau des processus NAT
• Cet objet contient un hôte, un réseau ou une rangé d’adresses
Service:
• Utilisé pour regrouper les divers ports utilisé par des services dans un seul objet
▪ Les identifiants doivent être uniques même si les types des objets diffèrent, par exemple, un objet réseau et un objet
service ne doivent pas porter le même nom

Formation Cisco ASA
Opérations sur des groupes d’objets
▪ Exemple de création d’objets réseau:
▪ Exemple de création d’ objets service:
object service tcp_www_ssh
description objet service source web et destination ssh
protocol tcp source eq www destiantion eq 443
object network admin
description @ip administrateur
host 172.16.0.1
object network net-192.168.0
description @ip 192.168.0.0
subnet 192.168.0.0
255.255.255.0
object network net-192.168.0
description @ip rangé 172.16 privée
range 172.16.0.0 172.31.255.255

Formation Cisco ASA
Opérations sur les objets
▪ Exemple de modification de groupe d’objets:
object service icmp-types
service-object icmp6  cette entrée ajoute le service icmp6 au service1
▪ Exemple de suppression de groupe d’objets :
no object icmp-types

Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la notion d’objets
▪ Les types d’objets
▪ Opérations sur les objets

Formation Cisco ASA
Les groupes d’objets
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Présentation de la notion et les types de groupes objets
▪ Opérations sur les groupes d’objets

Formation Cisco ASA
Présentation de la notion de groupes d’objets
▪ Les groupes d’objets peuvent d’être définit tout simplement comme des conteneurs d’objets
▪ Les groupes d’objets sont de 5 types:
• Les objets de groupe réseau qui contiennent des objets réseau
• Les objets de groupe services qui contiennent des objets service
• Les objets de groupe protocoles qui contiennent des objets protocole
• Les objets de groupe de types ICMP qui contiennent des types de message ICMP
• Les objets de groupe utilisateurs qui contiennent des utilisateurs locaux ou importé
▪ Les nom des groupes d’objets ainsi que les nom d’objets doivent être uniques
▪ Pour certaine versions ASA les objets IPV6 ne peuvent pas être imbriqués dans des groupes d’objets, en d’autres termes
vous ne pouvez pas joindre un objet IPv6 sous un groupe d'objets IPv6

Formation Cisco ASA
Opérations sur les groupes d’objets
▪ Exemple de création de groupe d’objets réseau
object-group network adesse-privees
network-object object net-192.168.0
network-object object net-172.16-priv
network-object object net-10.0.0
network-object host 10.0.0.2
▪ Exemple de création de groupe d’objets services
object-group service ports-bloque
service tcp source eq 80 destination eq 443
service tcp source eq 81 destination eq 443
service-object ssh-bloqué  où ssh-bloqué est un objet service déjà crée
▪ Exemple de création de groupe d’objets protocole
object-group service protocols_tcp_udp_icmp
protocol-object tcp
protocol-object udp
protocol-object icmp

Formation Cisco ASA
Opérations sur les groupes d’objets
▪ Exemple de création de groupe d’objets types ICMP
object-group icmp-type icmp-echo-echo_replay
icmp-object echo
icmp-object echo-relay
▪ Exemple de création de groupe d’objets types utilisateurs
object-group user moi
user bechir password test
▪ Exemple de détachement d’un objet de groupe d’objets
object-group network adresses-privees
no network-object host 10.0.0.1
▪ Exemple de suppression d’un groupe d’objets
no object-group network adresses-privees

Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la notion et les types de groupes objets
▪ Opérations sur les groupes d’objets

Formation Cisco ASA
La gestion des objets avec ASDM
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ La gestion des objets avec ASDM

Formation Cisco ASA
La gestion des objets avec ASDM
▪ Voici à présent comment créer et gérer les objets et les groupes d’objets à l’aide de ASDM
Figure qui représente l’interface de configuration des objets au niveau de ASDM

Formation Cisco ASA
Ce qu’on a vu
▪ La gestion des objets avec ASDM

Formation Cisco ASA
Rappel sur les ACLs
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Définition des ACLs
▪ Les types des ACLs étendues

Formation Cisco ASA
Définition des ACLs
▪ ACL c’est l’acronyme de « Access Control List » ou liste de contrôle d’accès
▪ Les ACL ou listes de contrôle d’accès sont définies comme un ensemble de règles qui permettent de préciser les paquets
qui doivent être acceptés ou refusés par apport à un réseau donné
▪ Voici un exemple d’une ACL standard:
access-list 1 deny 192.168.1.0
access-list 1 permit any
▪ Voici un exemple d’une ACL étendue:
access-list 102 permit tcp any any eq www
access-list 102 permit icmp host 192.168.0.1 any echo-reply
access-list 102 permit tcp any 20.0.0.0 0.0.0.255 eq 21
access-list 102 deny tcp 10.0.0.0 0.0.0.255 any eq 20
access-list 102 permit tcp 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255 eq 25
access-list 102 permit ip any any

Formation Cisco ASA
▪ Toujours avec le même exemple
access-list 102 permit tcp any any eq www
access-list 102 permit icmp host 192.168.0.1 any echo-reply
access-list 102 permit tcp any 20.0.0.0 0.0.0.255 eq 21
access-list 102 deny tcp 10.0.0.0 0.0.0.255 any eq 20
access-list 102 permit tcp 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255 eq 25
access-list 102 permit ip any any
▪ La règle à suivre toujours c’est que toute permission qui n’est pas explicitement exprimée, elle engendrera
automatiquement un déni implicite

Formation Cisco ASA
▪ Il faut toujour commencer par les règles spécifiques avant les règles générales dans l’ordre à partir du haut vers le bas
▪ Exemple de ACL mal configurée
access-list 102 deny ip 192.168.0.0 any
access-list 102 permit ip host 192.168.0.1 any
▪ Exemple de la même ACL correctement configurée
access-list 102 permit ip host 192.168.0.1 any
access-list 102 deny ip 192.168.0.0 any
▪ Il ne faut pas aussi définir une ACL avec une seule entrée qui exprime un déni, ce là va totalement bloquer tout trafic
entrant et sortant indépendamment des protocoles, sources et destinations une fois la liste de contrôle d’accès est
appliquée
▪ Les groupes d'accès ou access-group sont utilisés pour appliquer les ACLs que se soit sur des interfaces réseaux, plus
précisément sur les flux entrant/sortant ou sur les processus tel que la NAT « Network Access Translation »

Formation Cisco ASA
Définitions des ACLs
▪ Il existe deux catégories de liste d’accès de contrôle ACL, à savoir les
• ACL standards « Standard Access Control List »
• ACL étendues « Extended Access Control List »
Les ACL standards Les ACL étendues
Filtrent les flux sur la base de @IP
Source
Filtrent les flux sur la base de @IP
Source, @IP destination et le port
Applicables coté destination Applicables coté source
L’identifiant: 1-99 et 1300-1999 L’identifiant: 100-199 et 2000-2699

Formation Cisco ASA
Les types des ACLs étendues
▪ Les ACL étendues, comprennent à leur tour une variété d’ACL
• ACL Réflexives
✓ Elles permettent l’ajout dynamique des connexions en provenance du réseau en temps réel
• ACL Temporelles
✓ Elles sont applicables sur la base d’intervalles de temps
• ACL basées IPV6
✓ Elles sont applicables sur la base d’adressage IPV6
• ACL verrouillage à clé
✓ Elles sont applicables sur la base d’authentification des utilisateurs
• ACL Ether Type
✓ Elles représentent un type spécial d’ACLs applicables principalement dans un contexte de pare feu ASA
✓ Elles s’appliquent pour le cas d’utilisation du mode transparent ou il n’ y a pas de configurations basées
sur le protocole IP

Formation Cisco ASA
Ce qu’on a vu
▪ Définition des ACLs
▪ Les types des ACLs étendues

Formation Cisco ASA
Scénario 1 Cas d'accès à un serveur interne
Web et FTP
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le plan
▪ Scénario 1 Cas d'accès à un serveur interne Web et
FTP

Formation Cisco ASA
Scénario 1 Cas d'accès à un serveur interne Web et FTP
▪ Voici à présent la topologie qu’on va utiliser pour le cas de ce scénario
Figure qui représente la topologie à étudier

Formation Cisco ASA
Ce qu’on a vu
▪ Scénario 1 Cas d'accès à un serveur interne Web et
FTP

Formation Cisco ASA
Le Bilan
Présentée par:
Béchir BEJAOUI

Formation Cisco ASA
Le Bilan de la formation
▪ Les chapitres
Chapitre II: Les objets, groupes d’objets et ACL
Chapitre III: La conclusion

Formation Cisco ASA
▪ Les chapitres
Simulation de ASA avec GNS3 1.x sous Windows
Simulation de ASA avec GNS3 2.x sous Windows
Ajout de l'interface Graphique ASDM
Simulation de ASA avec GNS3 sous Linux
Gestion des fichiers de configuration
Les types de menaces
Les types de pare feu
Le pare feu ASA

Formation Cisco ASA
▪ Les chapitres
Présentation des modes d'accès
Les niveaux de sécurité
Un petit tour ASDM
Simulation de ASA sous Packet tracer
Simulation de ASAv sous VMware

Formation Cisco ASA
▪ Les chapitres
Chapitre II: Les objets, notions d’objets et ACLs
Chapitre III: Le Bilan
Introduction de la notion d'objets
Introduction de la notion de groupe objets
La gestion des groupes d'objets avec ASDM
Rappel sur la notion Les ACLs
Scénario 1 Cas d'accès à un serveur interne Web et FTP
Le Bilan

Support cours : Vos premiers pas avec le pare feu CISCO ASA

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Support cours : Vos premiers pas avec le pare feu CISCO ASA

Similaire à Support cours : Vos premiers pas avec le pare feu CISCO ASA (20)

Plus de SmartnSkilled

Plus de SmartnSkilled (20)

Dernier

Dernier (19)

Support cours : Vos premiers pas avec le pare feu CISCO ASA