SlideShare une entreprise Scribd logo
1  sur  134
Formation Cisco ASA
Formation Vos premiers pas avec
Cisco ASA
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Présentation générale
Figure qui montre le modèle de pare feu 5540
Formation Cisco ASA
Présentation formateur
▪ Béchir Béjaoui - consultant et formateur indépendant
▪ Mail: me780411@gmail.com
▪ LinkedIn : https://www.linkedin.com/in/bejaoui-06b2452b/
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: Les premiers pas
Chapitre II: Les objets, groupes d’objets et ACL
Chapitre III: La conclusion
Formation Cisco ASA
Prérequis
▪ Il sera recommandé d’avoir une idée relative au domaine réseau
▪ Il est recommandé d’être familier aux autres produits Cisco routeurs et commutateurs
▪ Avoir des connaissances relatives à l’utilisation et à la configuration des logiciels de
simulation
• Cisco Packet Tracer
• GNS 3
• Le logiciel de virtualisation Virtual Box,
• Le logiciel de virtualisation VMware
• Le logiciel de virtualisation QEMU
Formation Cisco ASA
Public concerné
▪ Les personnes ayant des connaissances de base en terme de réseau, comme les étudiants ou encore
les stagiaires au sein des entreprises, ce pendant, ils n’ont pas encore un background en terme de
gestion de sécurité et des risques au niveau d’une entreprise
▪ Les personnes qui veulent s’initier à la configuration du pare feu ASA
▪ Les personnes qui ont débutés déjà leur carrière en IT et qui veulent passer la certification CCNA
sécurité
▪ Les personnes ayant un niveau d’expertise en domaine IT autre que CISCO tel que les infrastructures
Windows, Linux , Juniper et Huawei et qui veulent avoir des connaissances en terme de configuration
et de gestion des pare feu Cisco ASA
Formation Cisco ASA
Objectifs visés
▪ Le principal objectif de cette formation et de vous assurer un premier contact avec l’environnement des
pare feu ASA
▪ Après avoir suivi cette formation vous serez sensé de connaître
• Les risques et menaces qui se présentent au niveau du réseaux
• A quel niveau le pare feu intervient en général
• Avoir une idée sur les modèles des pare feu introduit pas CISCO
• Découvrir les environnements de configuration des pare feu ASA 5505, 5520 et ASAv
Formation Cisco ASA
Vos premiers pas avec Cisco ASA
Formation Cisco ASA
Les types de menaces réseaux
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Comprendre le risque
▪ Les types de malware
▪ Les méthodes de protection
Formation Cisco ASA
Comprendre le risque
▪ La plupart des principes de sécurité peuvent être retracées à la triade sécuritaire également appelée
l'AIC ou triade CIA, qui est en fait la protection contre:
• La perte de confidentialité « Confidentiality »
• La perte de l'intégrité « Integrity »
• La perte de disponibilité « Availability »
▪ Le risque est inévitable à 100%, cependant, il est possible de le minimiser à travers un ensemble
• Des procédures standards et des règles de gestion de risques
• Des outils tel que les pare feu, les détecteurs d’intrusions IDS « Intrusion Detection Systems »,
les préventeurs d’intrusions IPS « Intrusion Prevention Systems », les solutions antivirus…..
▪ Pour comprendre le risque, il faut s’y mettre à la place des meneurs d’attaques, suivre la même logique
et en tirer les conclusions qui mènent à une bonne vision, cette vision sera traduite en une politique de
sécurité qui doit être appliquée et améliorée en continue
Formation Cisco ASA
Comprendre le risque
▪ Les menaces peuvent être répertoriées sous plusieurs catégories:
Les menaces artificielles:
• Ce sont des menaces telles que les cyber attaques ou installations de logiciels malveillants
• Ces menaces peuvent aussi être involontaires, lorsque les meneurs d’attaque exploitent les niveaux
réduits de connaissances de leurs victimes
Les menaces intentionnelles:
• Ce sont les menaces comme l’accès , la modification ou la suppression des données d’une manière
accidentelle sans l’intention de provoquer les dégâts
Les menaces naturelles:
• Les menaces environnementales qui provoquent des pannes de courant de longue durée
• Les menaces comme le vol, les incidents de feu volontaires et le vandalisme
Formation Cisco ASA
Les types de malware
▪ Un logiciel malveillant Malware est un logiciel qui est installé sur un système à l'insu de l'utilisateur. Il inclut
les
1. Les virus
2. Les vers
3. Les chevaux de Troie
4. Les logiciels espions « Les Spyware »
Les Virus:
• Les virus informatiques provoquent des dommages de milliards de dollars chaque année, ils causent l'échec du
système, du gaspillage de ressources informatiques, de la corruption des données ainsi que l'augmentation des
coûts de maintenance
Les vers:
• Par opposition aux virus, les vers sont autonomes, il s’auto reproduisent et se propagent à d'autres réseaux.
Souvent, en s'appuyant sur des failles de sécurité au niveau des systèmes
• Les vers visent surtout les performances aux niveau du réseau en consommant de la bande passante, cependant,
les virus corrompent ou modifient surtout les fichiers sur un ordinateur cible
Formation Cisco ASA
Les types de malware
Les chevaux de Troie:
• Contrairement aux virus informatiques et aux vers, les chevaux de Troie ne tentent pas de s'injecter dans d'autres
fichiers ou de s’ auto propager.
• Ils visent essentiellement les informations personnelles des utilisateurs
Les attaques de mémoire Stackoverflow:
• Un débordement de mémoire vive qui se produit quand une application reçoit des données inattendues qu‘elle
ne peut pas traiter
• Ce qui entraîne une erreur qui provoque l’écrasement des données vu que les données inattendues débordent
vers une autre zone mémoire
Le Spyware:
• Le Spyware est un logiciel qui s'installe sur un système sans le consentement, préavis ni contrôle de l'utilisateur.
• Le Spyware n'affiche pas de symptômes, il se trouve en arrière-plan, il collecte les informations et ne se fait pas
découvert, l’un des Spyware les plus connus est le Keylogger
Formation Cisco ASA
Les méthodes de protection
▪ La protection contre les menaces provoquées par les Malware s’effectuent sur plusieurs niveaux, en parle
souvent des stratégies de défenses en profondeur qui se fassent sur plusieurs niveaux d’un système
d’information, cette stratégie comprend
• Utilisation des pare feu au niveau du réseau
et des hôtes
• Mise à jour les systèmes d’une manière
périodique
• La réduction des surfaces d'attaques
• La formation des utilisateurs
• La réduction d'utilisation des comptes
administrateurs
• L’assurance d’un mécanisme de protection
en temps réel
• La vérification périodique des machines via des sessions d’audit
Formation Cisco ASA
Ce qu’on a vu
▪ Comprendre le risque
▪ Les types de malware
▪ Les méthodes de protection
Formation Cisco ASA
Les types de pare feu
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ La définition du pare feu
▪ Les catégories des pare feu
Formation Cisco ASA
La définition du pare feu
▪ Un pare-feu peut être définit comme un système de protection du réseau qui a comme mission la surveillance et le
contrôle du trafic réseau entrant et sortant en fonction des règles de sécurité prédéterminées
▪ Le premier type de pare feu employait une sorte de filtre à paquets qui examine les adresses réseau et les ports
relatifs au paquet transmit et détermine si ce paquet doit être autorisé ou bloqué.
▪ Il permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones
sont séparées suivant le niveau de confiance qu'on leur porte.
▪ Un pare-feu établit généralement une barrière entre un réseau interne sécurisé d’une part et un autre réseau
extérieur tel que l'Internet d’autre part
▪ Le filtrage se fait selon divers critères. Les plus courants sont :
• L'origine ou/et la destination des paquets exemple les adresses IP, les ports, les protocoles utilisés, les
interfaces réseau…
• La structure des données exemple la taille, la segmentation, la nature de chaque fragement
Formation Cisco ASA
Les catégories des pare feus
▪ Les pare feus peuvent être catégorisés selon deux approches, une approche domaine d’application et une approche
fonctionnelle
▪ Selon l’approche domaine d’application, les pare feus peuvent être divisés en deux principales classes à savoir:
• Les pare feu réseau, ils se présentent généralement sous forme d’un hardware qui se positionne entre le
réseau interne et le réseau externe, exemple les pare feu ASA de CISCO, les pare feu FORTIGET, les pare feu
SRX de JUNIPER…..
Formation Cisco ASA
Les catégories des pare feus
▪Les pare feus installés aux niveau des hôtes, tel que les pare feus de Windows et les pare feu de Linux
Figure qui montre le pare feu au niveau de Windows
Formation Cisco ASA
Les catégories des pare feus
▪Et les pare feu de Linux, les fameux IP Tables
Figure qui montre une interface graphique d’un pare feu Linux
Formation Cisco ASA
Les catégories des pare feus
▪Selon l’approche fonctionnelle les pare feus peuvent être divisés en plusieurs classes à savoir:
Les pare feu sans état:
• Le but fondamental d'un filtre de pare feu sans état est d'inspecter les composants des paquets entrants/
sortants, puis effectuer les actions qui correspondent aux critères spécifiques.
• L'utilisation typique d'un filtre pare-feu sans état est de protéger les processus de routage contre les
paquets malveillants ou non fiables
Les pare feu à état:
• De point de vue pratique, un pare feu à état est capable d’indiquer à quelle étape une connexion TCP est
active ou non, synchronisée ou non
• Il peut indiquer si la MTU « Maximum Transmission Unit » a changé et quels sont les paquets sujet de
fragmentation, etc.
• Il est capable d’observer les flux du trafic de bout en bout
• Il est capable aussi d’ implémenter les diverses fonctions de sécurité IP IPsec telles que les tunnels et le
cryptage.
Formation Cisco ASA
Les catégories des pare feus
Les pare feu basés sur l’identification:
Ce sont des pare feu qui contrôlent le trafic réseau à base de filtrage par utilisateur et non pas par adresse IP
ou adresse MAC, le pare feu AUTHP est un exemple de pare feu basé sur l’identification
Figure qui représente le pare feu au niveau du réseau
Formation Cisco ASA
Les catégories des pare feus
Les pare feu basés sur la couche application:
Exemple de pare feu qui fournit cette fonctionnalité est le pare feu Windows
Figure qui représente le filtrage sur la base des applications sous Windows
Formation Cisco ASA
Les catégories des pare feus
Les pare feu captif Captive Portal:
Les portails captifs sont utilisés principalement dans les réseaux sans fil ouverts où les utilisateurs reçoivent un
message de bienvenue en les informant des conditions d'accès (ports autorisés, responsabilité, etc.). Les
administrateurs ont tendance à le faire pour que leurs propres utilisateurs prennent la responsabilité de leurs
actions
Figure qui représente l’interface web du portal Captive du type Zentyal
Formation Cisco ASA
Ce qu’on a vu
▪ La définition du pare feu
▪ Les catégories des pare feu
Formation Cisco ASA
Le pare feu Cisco ASA
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Evolution des pare feu CISCO
▪ Domaines d’applications des pare feu ASA
▪ Stratégies de défenses
Formation Cisco ASA
Evolution des pare feu CISCO
▪ Bien avant 2005 Cisco introduisait le pare feu PIX « Private Internet Exchange » conçu comme équivalent
fonctionnel d'un PBX IP qui à comme fonction de résoudre la pénurie d'adresse IP enregistrées.
▪ Ce là à était au moment où NAT « Network Access Translation » est à peine sortie des stades d’études et
d’expérimentation
▪ Adaptive Security Appliance est un pare feu réseau introduit par Cisco en 2005 pour remplacer Cisco PIX
▪ ASA continue d'utiliser le système d’exploitation de base de PIX appelé FINESE « Fast Internet Service Exclusive » ,
mais lorsque le logiciel ASA est passé de la version majeure 7.X à 8.x, il est passé de la plate-forme du système
d'exploitation de FINESE/ Pix OS à la plate-forme Linux.
▪ ASA intègre également les fonctionnalités du système de prévention d'intrusion Cisco IPS 4200 et le concentrateur
Cisco 3000 VPN
▪ Sur le plan Hardware ASA continue comme PIX à utiliser l’architecture Intel 80x86
Formation Cisco ASA
Domaines d’application des pare feu ASA
▪ Les pares feus Cisco ASA protègent contre trois catégories de cyber attaques:
Attaques de reconnaissance:
• Un type d'attaque dans le cadre du quel un intrus y pénètre au niveau du système pour recueillir des informations
sur les vulnérabilités
• Les attaques de reconnaissance prennent plusieurs formes tel que , les Torjon, le Phishing, les
courriers indésirables, l’ingénierie de réseaux sociaux, les liens hypertexte malveillants ou encore les
applications antivirus gratuites
Attaques d'accès:
• Ce type d’attaques vient souvent après avoir effectué une série d’attaques de reconnaissance
• Les types d'attaques d'accès sons souvent des attaques de mot de passe, d’exploitation de niveaux de privilège
élevés, de redirection du port, d’attaque de l'homme au milieu « Man in the Middle »
Formation Cisco ASA
Domaines d’application des pare feu ASA
Attaques DoS Denial Of Service :
• Une attaque de déni de service est une cyber-attaque où l'auteur cherche à rendre une ressource réseau
indisponible pour ses utilisateurs en perturbant temporairement ou indéfiniment les services d'un hôte connecté
à Internet.
• Le déni de service est généralement accompli en inondant la ressource ciblée avec des demandes superflues
fictives empêchant certaines ou toutes les demandes légitimes d'être remplies
Figure illustrative de type d’attaque DDOS
Formation Cisco ASA
Domaines d’application des pare feu ASA
▪ Les pare feus CISCO ASA offrent des fonctionnalités pour se protéger contre ces attaques:
La permission et le déni du trafic réseau:
• Dans ce cas, la permission ou le déni sont concrètement mis en œuvre à travers l’application des listes de
contrôle d’accès sur les interfaces du pare feu dans les deux directions de flux à savoir entrants ou sortants.
• Il est possible d’appliquer des règles aux trafiques non IP via l’application des listes d’accès de type EtherType
Liste d'accès Ether Type
L’application de NAT Network Access Translation:
• Etant donné la non routabilité des adresses IP privés, le rôle de NAT est de rendre possible un tel accès via une
traduction des adresses IP utilisées au niveau réseau local en adresse IP publiques louées du FAI « Fournisseur
d’accès internet
Configuration basique de NAT
La protection des fragmentations IP:
• L’attaque de fragmentation IP est une procédure de communication dans laquelle les datagrammes IP sont
divisés en petits paquets, transmis sur un réseau puis remontés dans le datagramme original
Notions sur la fragmentation IP
Formation Cisco ASA
Domaines d’application des pare feu ASA
▪ Les pare feu CISCO ASA offrent des fonctionnalités pour se protéger contre ces attaques:
L’utilisation des AAA à travers les trafiques:
• AAA est l’abréviation de « Authentication, Authorization and Accounting », c’est un protocole qui règle les
procédures d’authentification et autorisation au niveau du réseau
Cisco ASA et configuration AAA
Le traitement des flux Web HTTP/HTTPS et FTP:
• Les listes de contrôle d’accès « ACL » montrent leurs limites quant il s’agit de contrôle du trafic web, en raison de
la taille et de la nature dynamique du trafic Web
• Le pare feu ASA dédie un serveur proxy Web baptisé Cisco Web Security Appliance dédié pour un contrôle plus
raffiné des flux Web
Cisco Web Security Appliance
L’inspection des applications:
L’inspection des applications est nécessaire pour les services qui intègrent des informations d'adressage IP dans
leurs paquets de données, CISCO ASA offre des inspections d’application sur plusieurs niveaux
Inspections d'application
Formation Cisco ASA
Domaines d’application des pare feu ASA
L’application des politiques QoS:
• Certains trafics réseau, tels que les trafics relatifs à la transmission audio visuelle, ne peuvent tolérer de longs
temps de latence. QoS est une technologie qui permet de préciser la priorité à ces types de trafic
Configuration de QoS pour le pare feu ASA
L’application des limites de connexions TCP/UDP:
• ASA utilise un mécanisme d’inspection à échelle rudimentaire, qui protège les systèmes internes d'une attaque
DoS tel que TCP SYNFLOOD en empêchant toute forme de connexions embryonnaires qui sont des demandes de
connexion qui n’ont pas terminés la procédure de HAND CHECK nécessaire
Application des limites pour le pare feu ASA
La détection d’attaques d’intrusion:
• La fonction de détection de menace de numérisation détermine quand un hôte est sujet d’analyse, la fonction
IDS d'analyse ASA maintient une base de données dynamique qui contient des statistiques qui servent à
effectuer des analyses en temps réel.
Formation Cisco ASA
Domaines d’application des pare feu ASA
Le contrôle des trafic BOTNET:
• Le Filtre de trafic de Botnet vérifie les connexions entrantes et sortantes contre une base de données dynamique
de noms de domaine et d'adresses IP suspectes puis enregistre toute activité douteuse.
• Les logiciels malveillants qui tentent des activités de réseau tel que l'envoi de données privées peuvent être
détectés par le filtre de trafic Botnet
Cisco ASA et Botnet
L’application de VPN pour la sécurisation de connexions:
• ASA fonctionne comme un point de terminaison de tunnel bidirectionnel à travers une connexion sécurisée
s'appelle un tunnel.
• ASA utilise des protocoles de tunnel pour négocier des paramètres de sécurité, créer et gérer des tunnels,
encapsuler des paquets, les transmettre ou les recevoir à travers le tunnel
Les filtres VPN pour le pare feu ASA
Formation Cisco ASA
Stratégies de défenses
▪ Avant d’entamer les stratégies de défense, il faut noter que les pare feu ASA fonctionnent selon deux modes:
Le mode routé Routed:
• En mode routé, le pare feu ASA est considéré comme un saut de routeur dans le réseau
Le mode transparent:
• En mode transparent, le pare feu ASA agit comme une un pare-feu discret, dans ce cas le pare feu ASA se
connecte au même réseau au niveau de ses interfaces intérieures et extérieures
• Un pare-feu transparent est aussi utilisé pour simplifier la configuration réseau et ne pas tirer l’attention aux
hauteurs d’attaques qu’un pare feu existe déjà au niveau du réseau
▪ Comme une première stratégie, il est possible de partitionner un pare feu ASA en plusieurs périphériques virtuels,
appelés contextes de sécurité.
▪ Chaque contexte est un dispositif indépendant, avec sa propre politique de sécurité, ses interfaces et ses
administrateurs. Les contextes multiples sont similaires à ceux de plusieurs périphériques autonomes.
▪ La configuration globale du système n'inclut aucune interface réseau ou paramètres pour elle-même. Plutôt lorsque le
système accède aux ressources du réseau, il utilise l'un des contextes désignés comme contexte administratif
Formation Cisco ASA
Stratégies de défenses
▪ Comme une deuxième stratégie, il est possible d’utiliser plusieurs pare feu ASA ensembles comme une seule unité
logique souvent connue sous le nom de Cluster
▪ Un Cluster fournit tous la commodité d'un seul périphérique de point de vue de gestion et d’ intégration dans un
réseau
▪ Toute la configuration sera faite uniquement sur l'unité maître, la configuration est ensuite répliquée aux autres
unités esclaves
Figure illustrative d’une topologie adoptant un mécanisme de pare feu en mode de balancement Failover
Formation Cisco ASA
Ce qu’on a vu
▪ Evolution des pare feu CISCO
▪ Domaines d’applications des pare feu ASA
▪ Stratégies de défenses
Formation Cisco ASA
La simulation ASA pour GNS3 1.x
sous Windows
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ La simulation de ASA avec GNS3 1.x sous Windows
Formation Cisco ASA
La simulation de ASA avec GNS3 1.x sous Windows
▪ Cette méthode est idéale pour les ordinateurs à ressources limitées en terme de micro processeur et
mémoire vive
▪ Elle nécessite les éléments suivants:
• Le fichier assistant d’installation GNS3-All-In-One
• Le fichier de simulation de mémoire pour ASA à savoir asa842-initrd.gz
• Le fichier de simulation du noyau pour ASA à savoir asa842-vmlinuz
• Le fichier FLASH de simulation d’espace de stockage
• La clé d’activation
Formation Cisco ASA
Ce qu’on a vu
▪ La simulation de ASA avec GNS3 1.x sous Windows
Formation Cisco ASA
Simulation ASA pour GNS3 2.x
sous Windows
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Simulation de ASA pour GNS3 2.x
Formation Cisco ASA
Simulation de ASA pour GNS3 2.x
▪ Cette méthode moins utilisée par apport à la première vu quelle nécessite beaucoup plus de ressources
▪ Contrairement à la version précédente, la virtualisation de ASA se base sur VMWare et non pas QEMU
▪ Cette simulation nécessite les éléments suivants:
• Le fichier d’installation GNS3-All-In-One
• La machine virtuelle GNS3 VM
• Le fichier ciscoasav.gns3a
• Le disque virtuel ASAv
• La clé d’activation
Formation Cisco ASA
Ce qu’on a vu
▪ Simulation de ASA pour GNS3 2.x
Formation Cisco ASA
Ajout de l’interface graphique ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Ajout de l’interface graphique ASDM
Formation Cisco ASA
Ajout de l’interface graphique ASDM
▪ ASDM est « Cisco Adaptative Security Device Manager » c’est l’interface graphique qui permet de configurer
et de gérer le pare feu ASA
▪ Voici un lien vers le guide d’utilisation Guide d'utilisation de ASDM
▪ Pour le cas de simulation GNS3 il sera nécessaire
• Le fichier binaire asdm-x.bin
• Un serveur TFTP exemple tftpd32-64
• La machine virtuelle java installée
• Une carte réseau de bouclage
Une figure qui montre l’interface graphique ASDM
Formation Cisco ASA
Ce qu’on a vu
▪ Ajout de l’interface graphique ASDM
Formation Cisco ASA
Simulation de ASA avec GNS3
sous Linux
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Simulation de ASA avec GNS3 sous Linux
Formation Cisco ASA
Ce qu’on a vu
▪ Simulation de ASA avec GNS3 sous Linux
Formation Cisco ASA
Gestion des fichiers de configuration
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Accès, modification et sauvegarde de configurations
Formation Cisco ASA
Evolution des pare feu CISCO
▪ Il existe deux instances de configuration au niveau du pare feu Cisco ASA:
• La configuration initiale startup-configuration
• La configuration courante running-configuration
▪ Toute commande entrée en cours est écrite directement dans running-config et prend effet immédiatement.
▪ Il est possible de voir les paramètres de cette configuration à travers la commande show runnig-configuration à
partir du mode privilégié.
▪ Puisque la configuration en cours d'exécution est écrite dans la mémoire vive RAM, si l'appareil est soudainement
mis hors tension, il perdra toute modification de configuration effectuée qui n'était pas précédemment enregistrée
▪ Pour enregistrer la configuration en cours d'exécution, il faut utiliser l’une des commandes copy runnig-
configuration startup-configuration ou write memory, ce qui permet à la configuration courante d’être
sauvegardée au niveau de la mémoire flash du pare feu
▪ Ou exporter les configurations vers l’extérieur de la mémoire Flash à l’aide d’un serveur TFTP
Formation Cisco ASA
Ce qu’on a vu
▪ Accès, modification et sauvegarde de configurations
Formation Cisco ASA
Présentation des modes d'accès
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Les modes d’accès
Formation Cisco ASA
Evolution des pare feu CISCO
▪ Il existe 4 principaux niveaux de modes d’accès au niveau de l’invite de la CLI ASA
Monitor mode:
Il présente l’invite monitor>, c’est un mode spécial qui vous permet de mettre à jour l'image sur le réseau ou
d’ effectuer le recouvrement de mot de passe. Le mode est accessible par le maintient de la touche Echappe ou
Pause lors de la mise sous tension du pare feu
Mode non privilégié:
Il présente l’invite ciscoasa>, il est disponible lors du premier accès au pare feu. Ce mode offre une vue restreinte
de sécurité. Il n’est pas possible de configurer n'importe quoi dans ce mode
Mode privilégié:
Il présente l’invite ciscoasa#, Permet de modifier les paramètres actuels. Toutes les commandes non privilégiée
fonctionnent également dans ce mode, Vous pouvez voir la configuration courant en utilisant la commande show
running-config mais, vous ne pouvez rien configurer jusqu'à maintenant, vous devez accéder au mode de
configuration
Formation Cisco ASA
Evolution des pare feu CISCO
Mode configuration :
Il présente l’invite ciscoasa(config)#. Ce mode est parfois appelé souvent le mode de configuration globale car il
permet d’effectuer des modifications à l’échelle globale. Ce mode mène aussi à des sous modes de configuration
encore plus spécifiques tel que le mode de configuration des interfaces ciscoasa ciscoasa(config-if)#
Résumé des modes d’accès au niveau du pare feu CISCO ASA
Formation Cisco ASA
Ce qu’on a vu
▪ Les modes d’accès
Formation Cisco ASA
Les niveaux de sécurité
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Présentation de la notion niveaux de sécurité
▪ Enumération des niveaux de sécurité
Formation Cisco ASA
Présentation de la notion niveaux de sécurité
▪ Puisque chaque interface du pare-feu représente un réseau spécifique ou une zone de sécurité bien déterminée, en
utilisant les niveaux de sécurité il est possible d’assigner des niveaux de confiance différents aux divers réseaux
appelés également zones de sécurité
▪ Les niveaux de sécurité sont représentés par des nombres entre 0 et 100
▪ La première règle principale appliquée dans le cadre des niveaux de sécurité, c’ est qu'une interface ou une zone de
sécurité avec un niveau supérieur peut accéder à une interface avec un niveau inférieur
▪ Une interface avec un niveau inférieur ne peut pas accéder à une interface avec un niveau relativement plus élevé,
sans l'autorisation explicite appliquée à travers d'une règle de sécurité souvent effectuée à l’aide d’une ACL « liste
de contrôle d'accès »
▪ Une exception à la règle générale concerne les flux entrants/sortants de la même transaction, qui permet un
échange réciproque du trafic sans éventuel blocage des flux en provenance des zones de sécurité dont le niveau de
sécurité est inférieur
▪ Au cas d’égalité des niveaux de sécurité de deux ou plusieurs zones de sécurité, l’échange n’est possible qu’après
l’exécution de la commande same-security-traffic permit inter-interface
Formation Cisco ASA
Enumération des niveaux de sécurité
▪ Voici à présent les différents niveaux de sécurité
Le niveau de sécurité 0:
• Il s'agit du niveau de sécurité le plus bas attribué par défaut aux interfaces dites outside du pare-feu
• Ce niveau de sécurité est normalement affecté à l'interface connectée à Internet.
• Cela signifie que tous les périphériques connectés à Internet ne peuvent pas avoir accès à n'importe quel
réseau derrière le pare-feu, sauf autorisation explicite à l’aide d'une règle ACL
Zone de sécurité OUTSIDE
Formation Cisco ASA
Enumération des niveaux de sécurité
Le niveau de sécurité de 1 à 99:
• Ces niveaux de sécurité peuvent être affectés principalement aux zones réseaux dites démilitarisées ou DMZ
où le niveau de confiance est partiel
• On affecte typiquement le numéro 50 pour représenter une zone de confiance partielle
Zone de sécurité zone démilitarisée DMZ
Formation Cisco ASA
Enumération des niveaux de sécurité
Le niveau de sécurité de 100:
C'est le niveau de sécurité est le plus élevé, il est attribué par défaut à l’interface inside du pare-feu
C'est le niveau de sécurité le plus sûre, il doit être assigné en conséquence au réseau d'entreprise interne derrière le
pare feu.
Zone de sécurité INSIDE
Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la notion niveaux de sécurité
▪ Enumération des niveaux de sécurité
Formation Cisco ASA
Configuration initiale de ASA
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Configuration initiale du pare feu ASA
Formation Cisco ASA
Configuration initiale du pare feu ASA
▪ Il existe pratiquement six étapes pour mener une configuration initiale du pare feu ASA à savoir:
• Configurer le mot de passe du mode privilégié
• Configurer la ligne de commande à distance
• Attribuer un nom au pare feu
• Configurer les interfaces du pare feu
• Configurer le routage par défaut au coté extérieur outside
• Configurer le temps
Configuration de mot de passe à niveau privilégié:
• Par défaut, il n'y a pas de mot de passe pour accéder au pare-feu ASA, donc la première étape avant de faire
autre chose il faut configurer un mot de passe à niveau privilégié
ciscoasa(config)# enable password pa$$w0rd
Configuration de la gestion de la ligne de commande à distance:
• Pour activer SSH sur le pare-feu, il faut d'abord créer un nom d'utilisateur / mot de passe pour
l'authentification, puis générer la clé de cryptage RSA
ciscoasa(config)#username bechir password pa$$w0rd
ciscoasa(config)#aaa authentication ssh console LOCAL
ciscoasa(config)# crypto key generate rsa modulus 1024
Formation Cisco ASA
Configuration initiale du pare feu ASA
• Il est possible aussi de spécifier une liste des hôtes qui peuvent y accéder via cette connexion SSH et ce là à
travers les commandes
ciscoasa(config)#ssh @IP_interne 255.255.255.255 inside
ciscoasa(config)#ssh @IP_externe 255.255.255.255 outside
ciscoasa(config)#ssh @IP_DMZ 255.255.255.255 DMZ
Configuration du nom de hôte hostname:
• Le nom d'hôte par défaut pour les pare feu Cisco ASA est ciscoasa. Il est recommandé de configurer un nom
d'hôte unique pour un nouveau pare-feu
Formation Cisco ASA
Configuration initiale du pare feu ASA
Configuration des interfaces:
• Les interfaces du pare feu Cisco ASA sont numérotées Ethernet0/0, Ethernet0/1, Ethernet0 / 2 etc.
Configuration de l’interface outside:
smartandskilledFW(config)#int Ethernet0/0
smartandskilledFW(config)#nameif outside
smartandskilledFW(config)#no shutdown
smartandskilledFW(config)#ip address 100.0.0.1
Configuration de l’interface DMZ:
smartandskilledFW(config)#int Ethernet0/0
smartandskilledFW(config)#nameif DMZ
smartandskilledFW(config)#security-level 50
smartandskilledFW(config)#no shutdown
smartandskilledFW(config)#ip address 172.16.0.1
Configuration de l’interface inside:
smartandskilledFW(config)#int Ethernet0/0
smartandskilledFW(config)#nameif intside
smartandskilledFW(config)#no shutdown
smartandskilledFW(config)#ip address 192.168.0.1
Formation Cisco ASA
Configuration initiale du pare feu ASA
Voici la figure qui représente la topologie à configurer
Figure qui montre la topologie à configurer
Formation Cisco ASA
Configuration initiale du pare feu ASA
Configuration du routage statique par défaut:
• Il est possible aussi de configurer le routage par défaut au niveau de l’interface externe pour assurer le
transfert du trafic
smartandskilledFW(config)#route outside 0.0.0.0 0.0.0.0 200.0.0.254 Adresse du saut suivant
Configuration du temps:
• Il est possible de configurer le temps au niveau du pare feu ASA pour des buts de synchronisation, dans ce cas
Il aura deux alternatives à savoir la configuration directe du pare feu ou la synchronisation avec un serveur NTP
« Network Time Protocol » server
Option1:
smartandskilledFW(config)#clock set 12:53:00 21 june 2017
Formation Cisco ASA
Configuration initiale du pare feu ASA
Option2:
smartnskilledFW(config)# ntp server 10.1.23.45 source inside
Il est possible aussi de sécuriser la connexion entre le pare feu ASA et le serveur NTP
smartnskilledFW(config)# ntp authenticate
smartnskilledFW(config)# ntp authentication-key 32 md5 secretkey1234
smartnskilledFW(config)# ntp trusted-key 32
smartnskilledFW(config)# ntp server 10.1.2.3 key 32 source inside
Dans ce cas la clé secrète doit être partagée par les deux équipements à savoir le pare feu et le serveur NTP
Formation Cisco ASA
Ce qu’on a vu
▪ Configuration initiale du pare feu ASA
Formation Cisco ASA
Un petit tour ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Présentation de l’interface graphique ASDM
Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ ASDM « Adaptative Security Device Manager » met le focus sur deux principaux axes à savoir:
• La configuration
• Le monitoring
▪ La configuration du pare feu ce fait selon deux modes à savoir:
• Méthode globale assistée à travers les Wizard
• Méthode manuelle détaillée à travers l’onglet Configuration
Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ ASDM fournit quatre types d’assistants de configuration Wizard à savoir:
L’assistant de configuration initiale Setup Wizard:
• Il permet l’initialisation de configuration du pare feu, comme le nom du pare feu, le nom du domaine, le secret, les
propriétés des interfaces, la configuration du NAT « Network Access Translation », la configuration HTTP, la mise à
jour du système et il clôture avec un sommaire des modifications
L’assistant de configuration VPN VPN Wizard:
• Il propose quatre formes de configurations relatives à:
✓ La configuration VPN Site-To-Site
✓ La configuration VPN AnyConnect
✓ La configuration VPN Client
✓ La configuration IPSEC
L’assistant de configuration de hautes disponibilités et des balancements HA and Scalability Wizard
• Il permet de configurer les pare feu ASA en mode cluster, il n’est disponible sous certaines licences non basiques
Formation Cisco ASA
Présentation de l’interface graphique ASDM
L’assistant de configuration des communications unifiées Unified Comunication Wizard
• Il permet de configurer les modes de communications média tel que les conversations téléphoniques, il nécessite
au moins la configuration de deux interfaces
L’assistant de configuration de capture de paquets Packet Capture Wizard
• Cet assistant permet la configuration de la fonctionnalité de capture et d’analyse des trafics entrants et sortants,
il permet aussi la sauvegarde des analyses effectués
▪ L’onglet de configuration propose le paramétrage identique proposé par les Wizard mais sa fournir de l’assistance
pas à pas tel que proposé par les Wizard
▪ Il est possible de lancer les Wizard à partir de l’interface de configuration
▪ Le mode de configuration propose aussi des paramétrages qu’on peut pas trouver en mode assisté
tel que les paramétrages relatifs au queue de priorités, les configurations SSL et la gestion des certificats, la
configuration des options de démarrages
Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ Outre que la configuration, le monitoring et le contrôle est le deuxième volet important proposé par l’interface ASDM
▪ L’interface de ADSM est conçue à ce qu’elle fournit le maximum des informations nécessaires en une seule page web
ASDM adopte le mode graphique modulaire pour représenter ces informations
▪ Le contrôle et la supervision du système se fait sur deux niveaux
• Un niveau global proposé par l’onglet Home
• Un niveau détaillé proposé au niveau de l’onglet Monitoring
Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ Au niveau onglet Home ASDM propose
• Des informations générales sur l’appareil
• Des informations sur les licences
• L’état des ressources RAM/CPU
• L’état du trafic et des interfaces
• Les derniers journalisations SysLog du pare feu
▪ Le mode Home propose aussi des informations sur l’infrastructure réseau
• Les statistiques du réseau
• Les taux de refus de paquets
• Les taux des attaques SYN FLOOD possibles
• Les top 10 règles d’accès appliquées
• Les top 10 état d’usage services, sources, destinations, utilisateurs
• Les top 10 serveurs protégées contre les attaques SYN FLOOD
• Les top 200 hôtes sous le contrôle du pare feu
Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ L’onglet Monitoring quant à lui, il représente des statistiques qui concernent essentiellement
• Les connexions VPN:
✓ Les connexions VPN Site-To-Site
✓ Les connexions VPN Clients
✓ Les tunnels IPSEC
• Le routage:
✓ Les LSA ou état de lien d’annonce « Link State Advertisements »
✓ Les voisins OSPF
✓ Les voisins EIGRP
✓ Les routes
• Les propriétés diverses du système
✓ Les processus par CPU
✓ L’audit des IP
✓ Le cache DNS
✓ L’accès au pare feu
▪ Ainsi que la configuration et le paramétrage de la journalisation
Formation Cisco ASA
Présentation de l’interface graphique ASDM
▪ Le menu Tools représente un ensemble d’utilités accès intéressantes comme
• L’assistance à l’utilisation des outils comme Packet Tracer, Ping et Trace Route
• La gestion des fichiers situé au niveau du pare feu en mode graphique
• La gestion des mises à jour
• Les opération de sauvegarde et de restauration des fichiers de configuration
• La possibilité d’intégrer des Sniffer comme Wire Shark à ASDM pour plus de contrôle des paquets
Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de l’interface graphique ASDM
Formation Cisco ASA
Configuration initiale de ASA
sous Packet Tracer
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Quelques remarques à propos de ASA 5505 et Packet
Tracer
▪ Simulation de ASA 5505 sous Packet Tracer
Formation Cisco ASA
Quelques remarques à propos de ASA 5505 et Packet Tracer
▪ Cisco ajoute un élément pare feu ASA 5505 à partir de la version 6 de Packet Tracer qui admet les propriétés
suivantes
• Le par feu ASA 5505 est utilisé dans les réseaux de petites tailles
• Le pare feu ASA 5505 ne permet pas la configuration de contextes multiples
• En mode transparent, il est possible de configurer jusqu’à 8 ponds de groupes « Bridge Group »
• Chaque pond de groupe « Bridge Group » peut contenir jusqu’à 4 VLANs
• Il supporte l’utilisation des adresses IPV6
• Les interfaces sont uniquement utilisées à travers les VLANs qui représentent les zones réseaux
▪ La simulation sous Packet Tracer représente des vraies limites:
• ASDM « Adaptative Security Device Manager » n’est pas intégrée
• Il n’est possible d’utiliser la commande nameif que seulement pour attribuer au plus deux noms
d’interfaces
• Un grand ensemble de commandes est absent exemple la création de groupes d’objets est réduite à la
création des objets réseaux seulement sous Packet Tracer
• La licence utilisée sous Packet tracer est basique, par conséquent, il n’est pas possible de
configurer certaines fonctionnalités comme le balancement « Failover Cluster »
Formation Cisco ASA
▪ Packet Tracer présente déjà deux VLANs préconfigurés à savoir:
• Le VLAN 1 qui représente le réseaux interne, il est nommé inside
• Le VLAN 2 qui représente le réseaux externe, il est nommé outside
▪ Le VLAN 1 est préconfiguré avec l’adresse 192.168.1.1
▪ Le VLAN 2 est préconfiguré pour avoir une adresse à partir du serveur DHCP
appartenant au réseau externe
▪ Le pare feu ASA est configuré comme serveur DHCP pour servir les interfaces et les VLANs
faisant partie du réseau interne
▪ Le contrôle de NAT « Network Access Translation » est actif par défaut, ce qui force la configuration de NAT
même lorsqu'il s’agit d’utilisation des adresses privés du coté du réseau externe
Quelques remarques à propos de ASA 5505 et Packet Tracer
Formation Cisco ASA
Simulation de ASA sous Packet Tracer
▪ Voici à présent la topologie crée sous Packet Tracer
▪ Il faut configurer la NAT « Network Access Translation »
smartnskilledFW(config)# object network net-192.168.0
smartnskilledFW(config-object-network)# subnet 192.168.0.0 255.255.255.0
smartnskilledFW(config-object-network)# nat (inside,outside) dynamic interface
smartnskilledFW(config)#exit
Formation Cisco ASA
Simulation de ASA sous Packet Tracer
▪ Voici à présent la topologie crée sous Packet Tracer
▪ Il faut aussi configurer l’inspection d’application pour le trafic ICMP et le trafique Web
smartnskilledFW(config)# class-map global-class
smartnskilledFW(config)# match default-inspection-traffic
smartnskilledFW(config)# policy-map GLOBAL
smartnskilledFW(config)# class global-class
smartnskilledFW(config)# inspect icmp | icmp http
smartnskilledFW(config)# service-policy GLOBAL global
Formation Cisco ASA
Ce qu’on a vu
▪ Quelques remarques à propos de ASA 5505 et Packet
Tracer
▪ Simulation de ASA 5505 sous Packet Tracer
Formation Cisco ASA
Simulation de ASAv sous VMware
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Enumérer Avantages/Désavantages
▪ Préparation de ASAv sous VMware
Formation Cisco ASA
Enumérer Avantages /Désavantages
▪ Les Avantages
• Utiliser les dernières versions de ASA sans avoir l’obligation d’utiliser GNS3 2.x pour des raisons
✓ La familiarité avec l’outil VMware plutôt que GNS3 2.x
✓ Le facteur consommation des ressources
✓ Seule la version 8(4).2 qui existe en mode d'émulation QEMU
• L’équipe GNS3 déclare que la version 8(4).2 montre une certaine instabilité
• Pour le cas de ASAv sous VMware la simulation beaucoup plus stable
• Pour le cas de passage de CCIE, il faut compter sur les images IOSv L2/L3et ASAv plutôt que les images
émulées dans un contexte GNS3
• Pour le cas d’utilisation des routeurs, des commutateurs et des hôtes réels, dans ce cas, il est possible de
simuler ASA avec un hôte équipé des cartes réseaux
▪ Les désavantages
✓ Le mode de tape est QWERTY
✓ Pour les machines à ressources limitées il sera difficile de choisir cette option
Formation Cisco ASA
Ce qu’on a vu
▪ Enumérer Avantages/Désavantages
▪ Préparation de ASAv sous VMware
Formation Cisco ASA
La notion des objets
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Présentation de la notion d’objets
▪ Les types d’objets
▪ Opérations sur les objets
Formation Cisco ASA
Présentation de la notion d’objets
▪ Avant de définir le terme d’objets, il faut imaginer la situation des administrateurs au niveau d’un réseau énorme avec des
centaines d'hôtes protégés par un Pare-feu.
▪ L’application des règles à des centaines d’hôtes dans un environnement distribué dont la structure est ramifiée constitue
une tâche fastidieuse même pour un groupe d’administrateurs réseau
▪ Pour y remédier Cisco a introduit la notion d’objet et groupe d’objets qui permet à l'administrateur de pare-feu à
regrouper des objets tels que des hôtes, des réseaux, des ports, etc. dans des objets identifiables par un nom unique
▪ Ces objets peuvent ensuite être utilisés au niveau des listes ACLs ou encore au niveau des processus NAT pour identifier
les adresses relatives aux réseaux internes à traduire
▪ En outre, tout les changements seront effectués au niveau de l’objet et seront automatiquement appliqués au niveau de
la liste d'accès ACL ou le processus NAT en question
▪ Il n’est pas possible d’ effacer un objet tant qu’il est utilisé par une autre ressource tel que une liste ACL ou un processus
NAT
Formation Cisco ASA
Les types d’objets
▪ Il existe deux types d’objets à savoir:
Réseau:
• Utilisé pour regrouper les hôtes ou les sous-réseaux, souvent utilisé au niveau des processus NAT
• Cet objet contient un hôte, un réseau ou une rangé d’adresses
Service:
• Utilisé pour regrouper les divers ports utilisé par des services dans un seul objet
▪ Les identifiants doivent être uniques même si les types des objets diffèrent, par exemple, un objet réseau et un objet
service ne doivent pas porter le même nom
Formation Cisco ASA
Opérations sur des groupes d’objets
▪ Exemple de création d’objets réseau:
▪ Exemple de création d’ objets service:
object service tcp_www_ssh
description objet service source web et destination ssh
protocol tcp source eq www destiantion eq 443
object network admin
description @ip administrateur
host 172.16.0.1
object network net-192.168.0
description @ip 192.168.0.0
subnet 192.168.0.0
255.255.255.0
object network net-192.168.0
description @ip rangé 172.16 privée
range 172.16.0.0 172.31.255.255
Formation Cisco ASA
Opérations sur les objets
▪ Exemple de modification de groupe d’objets:
object service icmp-types
service-object icmp6  cette entrée ajoute le service icmp6 au service1
▪ Exemple de suppression de groupe d’objets :
no object icmp-types
Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la notion d’objets
▪ Les types d’objets
▪ Opérations sur les objets
Formation Cisco ASA
Les groupes d’objets
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Présentation de la notion et les types de groupes objets
▪ Opérations sur les groupes d’objets
Formation Cisco ASA
Présentation de la notion de groupes d’objets
▪ Les groupes d’objets peuvent d’être définit tout simplement comme des conteneurs d’objets
▪ Les groupes d’objets sont de 5 types:
• Les objets de groupe réseau qui contiennent des objets réseau
• Les objets de groupe services qui contiennent des objets service
• Les objets de groupe protocoles qui contiennent des objets protocole
• Les objets de groupe de types ICMP qui contiennent des types de message ICMP
• Les objets de groupe utilisateurs qui contiennent des utilisateurs locaux ou importé
▪ Les nom des groupes d’objets ainsi que les nom d’objets doivent être uniques
▪ Pour certaine versions ASA les objets IPV6 ne peuvent pas être imbriqués dans des groupes d’objets, en d’autres termes
vous ne pouvez pas joindre un objet IPv6 sous un groupe d'objets IPv6
Formation Cisco ASA
Opérations sur les groupes d’objets
▪ Exemple de création de groupe d’objets réseau
object-group network adesse-privees
network-object object net-192.168.0
network-object object net-172.16-priv
network-object object net-10.0.0
network-object host 10.0.0.2
▪ Exemple de création de groupe d’objets services
object-group service ports-bloque
service tcp source eq 80 destination eq 443
service tcp source eq 81 destination eq 443
service-object ssh-bloqué  où ssh-bloqué est un objet service déjà crée
▪ Exemple de création de groupe d’objets protocole
object-group service protocols_tcp_udp_icmp
protocol-object tcp
protocol-object udp
protocol-object icmp
Formation Cisco ASA
Opérations sur les groupes d’objets
▪ Exemple de création de groupe d’objets types ICMP
object-group icmp-type icmp-echo-echo_replay
icmp-object echo
icmp-object echo-relay
▪ Exemple de création de groupe d’objets types utilisateurs
object-group user moi
user bechir password test
▪ Exemple de détachement d’un objet de groupe d’objets
object-group network adresses-privees
no network-object host 10.0.0.1
▪ Exemple de suppression d’un groupe d’objets
no object-group network adresses-privees
Formation Cisco ASA
Ce qu’on a vu
▪ Présentation de la notion et les types de groupes objets
▪ Opérations sur les groupes d’objets
Formation Cisco ASA
La gestion des objets avec ASDM
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ La gestion des objets avec ASDM
Formation Cisco ASA
La gestion des objets avec ASDM
▪ Voici à présent comment créer et gérer les objets et les groupes d’objets à l’aide de ASDM
Figure qui représente l’interface de configuration des objets au niveau de ASDM
Formation Cisco ASA
Ce qu’on a vu
▪ La gestion des objets avec ASDM
Formation Cisco ASA
Rappel sur les ACLs
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Définition des ACLs
▪ Les types des ACLs étendues
Formation Cisco ASA
Définition des ACLs
▪ ACL c’est l’acronyme de « Access Control List » ou liste de contrôle d’accès
▪ Les ACL ou listes de contrôle d’accès sont définies comme un ensemble de règles qui permettent de préciser les paquets
qui doivent être acceptés ou refusés par apport à un réseau donné
▪ Voici un exemple d’une ACL standard:
access-list 1 deny 192.168.1.0
access-list 1 permit any
▪ Voici un exemple d’une ACL étendue:
access-list 102 permit tcp any any eq www
access-list 102 permit icmp host 192.168.0.1 any echo-reply
access-list 102 permit tcp any 20.0.0.0 0.0.0.255 eq 21
access-list 102 deny tcp 10.0.0.0 0.0.0.255 any eq 20
access-list 102 permit tcp 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255 eq 25
access-list 102 permit ip any any
Formation Cisco ASA
Définition des ACLs
▪ Toujours avec le même exemple
access-list 102 permit tcp any any eq www
access-list 102 permit icmp host 192.168.0.1 any echo-reply
access-list 102 permit tcp any 20.0.0.0 0.0.0.255 eq 21
access-list 102 deny tcp 10.0.0.0 0.0.0.255 any eq 20
access-list 102 permit tcp 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255 eq 25
access-list 102 permit ip any any
▪ La règle à suivre toujours c’est que toute permission qui n’est pas explicitement exprimée, elle engendrera
automatiquement un déni implicite
Formation Cisco ASA
Définition des ACLs
▪ Il faut toujour commencer par les règles spécifiques avant les règles générales dans l’ordre à partir du haut vers le bas
▪ Exemple de ACL mal configurée
access-list 102 deny ip 192.168.0.0 any
access-list 102 permit ip host 192.168.0.1 any
▪ Exemple de la même ACL correctement configurée
access-list 102 permit ip host 192.168.0.1 any
access-list 102 deny ip 192.168.0.0 any
▪ Il ne faut pas aussi définir une ACL avec une seule entrée qui exprime un déni, ce là va totalement bloquer tout trafic
entrant et sortant indépendamment des protocoles, sources et destinations une fois la liste de contrôle d’accès est
appliquée
▪ Les groupes d'accès ou access-group sont utilisés pour appliquer les ACLs que se soit sur des interfaces réseaux, plus
précisément sur les flux entrant/sortant ou sur les processus tel que la NAT « Network Access Translation »
Formation Cisco ASA
Définitions des ACLs
▪ Il existe deux catégories de liste d’accès de contrôle ACL, à savoir les
• ACL standards « Standard Access Control List »
• ACL étendues « Extended Access Control List »
Les ACL standards Les ACL étendues
Filtrent les flux sur la base de @IP
Source
Filtrent les flux sur la base de @IP
Source, @IP destination et le port
Applicables coté destination Applicables coté source
L’identifiant: 1-99 et 1300-1999 L’identifiant: 100-199 et 2000-2699
Formation Cisco ASA
Les types des ACLs étendues
▪ Les ACL étendues, comprennent à leur tour une variété d’ACL
• ACL Réflexives
✓ Elles permettent l’ajout dynamique des connexions en provenance du réseau en temps réel
• ACL Temporelles
✓ Elles sont applicables sur la base d’intervalles de temps
• ACL basées IPV6
✓ Elles sont applicables sur la base d’adressage IPV6
• ACL verrouillage à clé
✓ Elles sont applicables sur la base d’authentification des utilisateurs
• ACL Ether Type
✓ Elles représentent un type spécial d’ACLs applicables principalement dans un contexte de pare feu ASA
✓ Elles s’appliquent pour le cas d’utilisation du mode transparent ou il n’ y a pas de configurations basées
sur le protocole IP
Formation Cisco ASA
Ce qu’on a vu
▪ Définition des ACLs
▪ Les types des ACLs étendues
Formation Cisco ASA
Scénario 1 Cas d'accès à un serveur interne
Web et FTP
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le plan
▪ Scénario 1 Cas d'accès à un serveur interne Web et
FTP
Formation Cisco ASA
Scénario 1 Cas d'accès à un serveur interne Web et FTP
▪ Voici à présent la topologie qu’on va utiliser pour le cas de ce scénario
Figure qui représente la topologie à étudier
Formation Cisco ASA
Ce qu’on a vu
▪ Scénario 1 Cas d'accès à un serveur interne Web et
FTP
Formation Cisco ASA
Le Bilan
Présentée par:
Béchir BEJAOUI
Formateur et consultant indépendant
Formation Cisco ASA
Le Bilan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: Les premiers pas
Chapitre II: Les objets, groupes d’objets et ACL
Chapitre III: La conclusion
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre 0: Chapitre introductif
Chapitre I: Les premiers pas
Simulation de ASA avec GNS3 1.x sous Windows
Simulation de ASA avec GNS3 2.x sous Windows
Ajout de l'interface Graphique ASDM
Simulation de ASA avec GNS3 sous Linux
Gestion des fichiers de configuration
Les types de menaces
Les types de pare feu
Le pare feu ASA
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre I: Les premiers pas
Présentation des modes d'accès
Les niveaux de sécurité
Configuration initiale de ASA
Un petit tour ASDM
Simulation de ASA sous Packet tracer
Simulation de ASAv sous VMware
Formation Cisco ASA
Le plan de la formation
▪ Les chapitres
Chapitre II: Les objets, notions d’objets et ACLs
Chapitre III: Le Bilan
Introduction de la notion d'objets
Introduction de la notion de groupe objets
La gestion des groupes d'objets avec ASDM
Rappel sur la notion Les ACLs
Scénario 1 Cas d'accès à un serveur interne Web et FTP
Le Bilan

Contenu connexe

Tendances

Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 

Tendances (20)

Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (1)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (1)Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (1)
Support formation vidéo : Cisco CCNA Routing & Switching - Examen (200-125) (1)
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Zabbix
ZabbixZabbix
Zabbix
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.xAlphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdf
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
 

Similaire à Support cours : Vos premiers pas avec le pare feu CISCO ASA

Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 

Similaire à Support cours : Vos premiers pas avec le pare feu CISCO ASA (20)

Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
Assurer la protection des données dans Azure et O365
Assurer la protection des données dans Azure et O365Assurer la protection des données dans Azure et O365
Assurer la protection des données dans Azure et O365
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
fortinet et sécurité.pdf
fortinet et sécurité.pdffortinet et sécurité.pdf
fortinet et sécurité.pdf
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 

Plus de SmartnSkilled

Plus de SmartnSkilled (20)

Formation : Comment rendre une réunion efficace ?
Formation : Comment rendre une réunion efficace ?Formation : Comment rendre une réunion efficace ?
Formation : Comment rendre une réunion efficace ?
 
Support cours : Les Data Sciences avec Python Langage - Partie II
Support cours : Les Data Sciences avec Python Langage - Partie IISupport cours : Les Data Sciences avec Python Langage - Partie II
Support cours : Les Data Sciences avec Python Langage - Partie II
 
Support tutoriel : Initiation à SAP ERP
Support tutoriel : Initiation à SAP ERPSupport tutoriel : Initiation à SAP ERP
Support tutoriel : Initiation à SAP ERP
 
Support formation : Construire et administrer vos conteneurs avec Docker
Support formation : Construire et administrer vos conteneurs avec DockerSupport formation : Construire et administrer vos conteneurs avec Docker
Support formation : Construire et administrer vos conteneurs avec Docker
 
Support formation : Maîtriser la comptabilité des opérations de fin d'exercice
Support formation : Maîtriser la comptabilité des opérations de fin d'exerciceSupport formation : Maîtriser la comptabilité des opérations de fin d'exercice
Support formation : Maîtriser la comptabilité des opérations de fin d'exercice
 
Support cours : Comment rédiger un rapport ?
Support cours : Comment rédiger un rapport ?Support cours : Comment rédiger un rapport ?
Support cours : Comment rédiger un rapport ?
 
Support formation : Maîtriser les Data Sciences avec Python Language - Partie I
Support formation : Maîtriser les Data Sciences avec Python Language - Partie ISupport formation : Maîtriser les Data Sciences avec Python Language - Partie I
Support formation : Maîtriser les Data Sciences avec Python Language - Partie I
 
Support cours : Rédigez vos emails professionnels
Support cours : Rédigez vos emails professionnelsSupport cours : Rédigez vos emails professionnels
Support cours : Rédigez vos emails professionnels
 
Support cours : Les phares du marketing
Support cours : Les phares du marketingSupport cours : Les phares du marketing
Support cours : Les phares du marketing
 
Support formation : La négociation commerciale coté vendeur
Support formation : La négociation commerciale coté vendeurSupport formation : La négociation commerciale coté vendeur
Support formation : La négociation commerciale coté vendeur
 
Support cours : Initiation à SAP ERP
Support cours : Initiation à SAP ERPSupport cours : Initiation à SAP ERP
Support cours : Initiation à SAP ERP
 
Tutoriel : Online English Expertise
Tutoriel : Online English ExpertiseTutoriel : Online English Expertise
Tutoriel : Online English Expertise
 
Formation : Mettre en place une stratégie commerciale
Formation : Mettre en place une stratégie commercialeFormation : Mettre en place une stratégie commerciale
Formation : Mettre en place une stratégie commerciale
 
Support cours : Cours d'Espagnol Débutant (A1-A2)
Support cours : Cours d'Espagnol Débutant (A1-A2)Support cours : Cours d'Espagnol Débutant (A1-A2)
Support cours : Cours d'Espagnol Débutant (A1-A2)
 
Support Tutoriel : Online English Expertise
Support Tutoriel : Online English ExpertiseSupport Tutoriel : Online English Expertise
Support Tutoriel : Online English Expertise
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
Support Tutoriel : Art oratoire et prise de parole en public
Support Tutoriel : Art oratoire et prise de parole en publicSupport Tutoriel : Art oratoire et prise de parole en public
Support Tutoriel : Art oratoire et prise de parole en public
 
Support formation en ligne: L'estime de soi
Support formation en ligne: L'estime de soiSupport formation en ligne: L'estime de soi
Support formation en ligne: L'estime de soi
 
Support formation vidéo : Les phares du marketing
Support formation vidéo : Les phares du marketingSupport formation vidéo : Les phares du marketing
Support formation vidéo : Les phares du marketing
 
Support formation en ligne: La conduite des entretiens individuels
Support formation en ligne: La conduite des entretiens individuelsSupport formation en ligne: La conduite des entretiens individuels
Support formation en ligne: La conduite des entretiens individuels
 

Dernier

Dernier (14)

Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"
 
Un petit coin etwinning- Au fil des cultures urbaines
Un petit coin  etwinning- Au fil des cultures urbainesUn petit coin  etwinning- Au fil des cultures urbaines
Un petit coin etwinning- Au fil des cultures urbaines
 
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptxGHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
GHASSOUB _Seance 4_ measurement and evaluation in education_-.pptx
 
rapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdfrapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdf
 
Exemple de grille d'audit 5S, check liste Audit
Exemple de grille d'audit 5S, check liste AuditExemple de grille d'audit 5S, check liste Audit
Exemple de grille d'audit 5S, check liste Audit
 
Fiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciationFiche de vocabulaire pour faire une appréciation
Fiche de vocabulaire pour faire une appréciation
 
Quitter la nuit. pptx
Quitter        la             nuit.   pptxQuitter        la             nuit.   pptx
Quitter la nuit. pptx
 
Nathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseNathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre française
 
Àma Gloria.pptx Un film tourné au Cap Vert et en France
Àma Gloria.pptx   Un film tourné au Cap Vert et en FranceÀma Gloria.pptx   Un film tourné au Cap Vert et en France
Àma Gloria.pptx Un film tourné au Cap Vert et en France
 
Quitter la nuit. pptx
Quitter          la        nuit.    pptxQuitter          la        nuit.    pptx
Quitter la nuit. pptx
 
PowerPoint-de-Soutenance-de-TFE-infirmier.pdf
PowerPoint-de-Soutenance-de-TFE-infirmier.pdfPowerPoint-de-Soutenance-de-TFE-infirmier.pdf
PowerPoint-de-Soutenance-de-TFE-infirmier.pdf
 
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptxGHASSOUB _Seance 3_ measurement and evaluation in education.pptx
GHASSOUB _Seance 3_ measurement and evaluation in education.pptx
 
Texte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigéesTexte avec différentes critiques positives, négatives ou mitigées
Texte avec différentes critiques positives, négatives ou mitigées
 
Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024Réunion des directeurs de Jonzac - 15 mai 2024
Réunion des directeurs de Jonzac - 15 mai 2024
 

Support cours : Vos premiers pas avec le pare feu CISCO ASA

  • 1. Formation Cisco ASA Formation Vos premiers pas avec Cisco ASA Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 2. Formation Cisco ASA Présentation générale Figure qui montre le modèle de pare feu 5540
  • 3. Formation Cisco ASA Présentation formateur ▪ Béchir Béjaoui - consultant et formateur indépendant ▪ Mail: me780411@gmail.com ▪ LinkedIn : https://www.linkedin.com/in/bejaoui-06b2452b/
  • 4. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre 0: Chapitre introductif Chapitre I: Les premiers pas Chapitre II: Les objets, groupes d’objets et ACL Chapitre III: La conclusion
  • 5. Formation Cisco ASA Prérequis ▪ Il sera recommandé d’avoir une idée relative au domaine réseau ▪ Il est recommandé d’être familier aux autres produits Cisco routeurs et commutateurs ▪ Avoir des connaissances relatives à l’utilisation et à la configuration des logiciels de simulation • Cisco Packet Tracer • GNS 3 • Le logiciel de virtualisation Virtual Box, • Le logiciel de virtualisation VMware • Le logiciel de virtualisation QEMU
  • 6. Formation Cisco ASA Public concerné ▪ Les personnes ayant des connaissances de base en terme de réseau, comme les étudiants ou encore les stagiaires au sein des entreprises, ce pendant, ils n’ont pas encore un background en terme de gestion de sécurité et des risques au niveau d’une entreprise ▪ Les personnes qui veulent s’initier à la configuration du pare feu ASA ▪ Les personnes qui ont débutés déjà leur carrière en IT et qui veulent passer la certification CCNA sécurité ▪ Les personnes ayant un niveau d’expertise en domaine IT autre que CISCO tel que les infrastructures Windows, Linux , Juniper et Huawei et qui veulent avoir des connaissances en terme de configuration et de gestion des pare feu Cisco ASA
  • 7. Formation Cisco ASA Objectifs visés ▪ Le principal objectif de cette formation et de vous assurer un premier contact avec l’environnement des pare feu ASA ▪ Après avoir suivi cette formation vous serez sensé de connaître • Les risques et menaces qui se présentent au niveau du réseaux • A quel niveau le pare feu intervient en général • Avoir une idée sur les modèles des pare feu introduit pas CISCO • Découvrir les environnements de configuration des pare feu ASA 5505, 5520 et ASAv
  • 8. Formation Cisco ASA Vos premiers pas avec Cisco ASA
  • 9. Formation Cisco ASA Les types de menaces réseaux Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 10. Formation Cisco ASA Le plan ▪ Comprendre le risque ▪ Les types de malware ▪ Les méthodes de protection
  • 11. Formation Cisco ASA Comprendre le risque ▪ La plupart des principes de sécurité peuvent être retracées à la triade sécuritaire également appelée l'AIC ou triade CIA, qui est en fait la protection contre: • La perte de confidentialité « Confidentiality » • La perte de l'intégrité « Integrity » • La perte de disponibilité « Availability » ▪ Le risque est inévitable à 100%, cependant, il est possible de le minimiser à travers un ensemble • Des procédures standards et des règles de gestion de risques • Des outils tel que les pare feu, les détecteurs d’intrusions IDS « Intrusion Detection Systems », les préventeurs d’intrusions IPS « Intrusion Prevention Systems », les solutions antivirus….. ▪ Pour comprendre le risque, il faut s’y mettre à la place des meneurs d’attaques, suivre la même logique et en tirer les conclusions qui mènent à une bonne vision, cette vision sera traduite en une politique de sécurité qui doit être appliquée et améliorée en continue
  • 12. Formation Cisco ASA Comprendre le risque ▪ Les menaces peuvent être répertoriées sous plusieurs catégories: Les menaces artificielles: • Ce sont des menaces telles que les cyber attaques ou installations de logiciels malveillants • Ces menaces peuvent aussi être involontaires, lorsque les meneurs d’attaque exploitent les niveaux réduits de connaissances de leurs victimes Les menaces intentionnelles: • Ce sont les menaces comme l’accès , la modification ou la suppression des données d’une manière accidentelle sans l’intention de provoquer les dégâts Les menaces naturelles: • Les menaces environnementales qui provoquent des pannes de courant de longue durée • Les menaces comme le vol, les incidents de feu volontaires et le vandalisme
  • 13. Formation Cisco ASA Les types de malware ▪ Un logiciel malveillant Malware est un logiciel qui est installé sur un système à l'insu de l'utilisateur. Il inclut les 1. Les virus 2. Les vers 3. Les chevaux de Troie 4. Les logiciels espions « Les Spyware » Les Virus: • Les virus informatiques provoquent des dommages de milliards de dollars chaque année, ils causent l'échec du système, du gaspillage de ressources informatiques, de la corruption des données ainsi que l'augmentation des coûts de maintenance Les vers: • Par opposition aux virus, les vers sont autonomes, il s’auto reproduisent et se propagent à d'autres réseaux. Souvent, en s'appuyant sur des failles de sécurité au niveau des systèmes • Les vers visent surtout les performances aux niveau du réseau en consommant de la bande passante, cependant, les virus corrompent ou modifient surtout les fichiers sur un ordinateur cible
  • 14. Formation Cisco ASA Les types de malware Les chevaux de Troie: • Contrairement aux virus informatiques et aux vers, les chevaux de Troie ne tentent pas de s'injecter dans d'autres fichiers ou de s’ auto propager. • Ils visent essentiellement les informations personnelles des utilisateurs Les attaques de mémoire Stackoverflow: • Un débordement de mémoire vive qui se produit quand une application reçoit des données inattendues qu‘elle ne peut pas traiter • Ce qui entraîne une erreur qui provoque l’écrasement des données vu que les données inattendues débordent vers une autre zone mémoire Le Spyware: • Le Spyware est un logiciel qui s'installe sur un système sans le consentement, préavis ni contrôle de l'utilisateur. • Le Spyware n'affiche pas de symptômes, il se trouve en arrière-plan, il collecte les informations et ne se fait pas découvert, l’un des Spyware les plus connus est le Keylogger
  • 15. Formation Cisco ASA Les méthodes de protection ▪ La protection contre les menaces provoquées par les Malware s’effectuent sur plusieurs niveaux, en parle souvent des stratégies de défenses en profondeur qui se fassent sur plusieurs niveaux d’un système d’information, cette stratégie comprend • Utilisation des pare feu au niveau du réseau et des hôtes • Mise à jour les systèmes d’une manière périodique • La réduction des surfaces d'attaques • La formation des utilisateurs • La réduction d'utilisation des comptes administrateurs • L’assurance d’un mécanisme de protection en temps réel • La vérification périodique des machines via des sessions d’audit
  • 16. Formation Cisco ASA Ce qu’on a vu ▪ Comprendre le risque ▪ Les types de malware ▪ Les méthodes de protection
  • 17. Formation Cisco ASA Les types de pare feu Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 18. Formation Cisco ASA Le plan ▪ La définition du pare feu ▪ Les catégories des pare feu
  • 19. Formation Cisco ASA La définition du pare feu ▪ Un pare-feu peut être définit comme un système de protection du réseau qui a comme mission la surveillance et le contrôle du trafic réseau entrant et sortant en fonction des règles de sécurité prédéterminées ▪ Le premier type de pare feu employait une sorte de filtre à paquets qui examine les adresses réseau et les ports relatifs au paquet transmit et détermine si ce paquet doit être autorisé ou bloqué. ▪ Il permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur porte. ▪ Un pare-feu établit généralement une barrière entre un réseau interne sécurisé d’une part et un autre réseau extérieur tel que l'Internet d’autre part ▪ Le filtrage se fait selon divers critères. Les plus courants sont : • L'origine ou/et la destination des paquets exemple les adresses IP, les ports, les protocoles utilisés, les interfaces réseau… • La structure des données exemple la taille, la segmentation, la nature de chaque fragement
  • 20. Formation Cisco ASA Les catégories des pare feus ▪ Les pare feus peuvent être catégorisés selon deux approches, une approche domaine d’application et une approche fonctionnelle ▪ Selon l’approche domaine d’application, les pare feus peuvent être divisés en deux principales classes à savoir: • Les pare feu réseau, ils se présentent généralement sous forme d’un hardware qui se positionne entre le réseau interne et le réseau externe, exemple les pare feu ASA de CISCO, les pare feu FORTIGET, les pare feu SRX de JUNIPER…..
  • 21. Formation Cisco ASA Les catégories des pare feus ▪Les pare feus installés aux niveau des hôtes, tel que les pare feus de Windows et les pare feu de Linux Figure qui montre le pare feu au niveau de Windows
  • 22. Formation Cisco ASA Les catégories des pare feus ▪Et les pare feu de Linux, les fameux IP Tables Figure qui montre une interface graphique d’un pare feu Linux
  • 23. Formation Cisco ASA Les catégories des pare feus ▪Selon l’approche fonctionnelle les pare feus peuvent être divisés en plusieurs classes à savoir: Les pare feu sans état: • Le but fondamental d'un filtre de pare feu sans état est d'inspecter les composants des paquets entrants/ sortants, puis effectuer les actions qui correspondent aux critères spécifiques. • L'utilisation typique d'un filtre pare-feu sans état est de protéger les processus de routage contre les paquets malveillants ou non fiables Les pare feu à état: • De point de vue pratique, un pare feu à état est capable d’indiquer à quelle étape une connexion TCP est active ou non, synchronisée ou non • Il peut indiquer si la MTU « Maximum Transmission Unit » a changé et quels sont les paquets sujet de fragmentation, etc. • Il est capable d’observer les flux du trafic de bout en bout • Il est capable aussi d’ implémenter les diverses fonctions de sécurité IP IPsec telles que les tunnels et le cryptage.
  • 24. Formation Cisco ASA Les catégories des pare feus Les pare feu basés sur l’identification: Ce sont des pare feu qui contrôlent le trafic réseau à base de filtrage par utilisateur et non pas par adresse IP ou adresse MAC, le pare feu AUTHP est un exemple de pare feu basé sur l’identification Figure qui représente le pare feu au niveau du réseau
  • 25. Formation Cisco ASA Les catégories des pare feus Les pare feu basés sur la couche application: Exemple de pare feu qui fournit cette fonctionnalité est le pare feu Windows Figure qui représente le filtrage sur la base des applications sous Windows
  • 26. Formation Cisco ASA Les catégories des pare feus Les pare feu captif Captive Portal: Les portails captifs sont utilisés principalement dans les réseaux sans fil ouverts où les utilisateurs reçoivent un message de bienvenue en les informant des conditions d'accès (ports autorisés, responsabilité, etc.). Les administrateurs ont tendance à le faire pour que leurs propres utilisateurs prennent la responsabilité de leurs actions Figure qui représente l’interface web du portal Captive du type Zentyal
  • 27. Formation Cisco ASA Ce qu’on a vu ▪ La définition du pare feu ▪ Les catégories des pare feu
  • 28. Formation Cisco ASA Le pare feu Cisco ASA Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 29. Formation Cisco ASA Le plan ▪ Evolution des pare feu CISCO ▪ Domaines d’applications des pare feu ASA ▪ Stratégies de défenses
  • 30. Formation Cisco ASA Evolution des pare feu CISCO ▪ Bien avant 2005 Cisco introduisait le pare feu PIX « Private Internet Exchange » conçu comme équivalent fonctionnel d'un PBX IP qui à comme fonction de résoudre la pénurie d'adresse IP enregistrées. ▪ Ce là à était au moment où NAT « Network Access Translation » est à peine sortie des stades d’études et d’expérimentation ▪ Adaptive Security Appliance est un pare feu réseau introduit par Cisco en 2005 pour remplacer Cisco PIX ▪ ASA continue d'utiliser le système d’exploitation de base de PIX appelé FINESE « Fast Internet Service Exclusive » , mais lorsque le logiciel ASA est passé de la version majeure 7.X à 8.x, il est passé de la plate-forme du système d'exploitation de FINESE/ Pix OS à la plate-forme Linux. ▪ ASA intègre également les fonctionnalités du système de prévention d'intrusion Cisco IPS 4200 et le concentrateur Cisco 3000 VPN ▪ Sur le plan Hardware ASA continue comme PIX à utiliser l’architecture Intel 80x86
  • 31. Formation Cisco ASA Domaines d’application des pare feu ASA ▪ Les pares feus Cisco ASA protègent contre trois catégories de cyber attaques: Attaques de reconnaissance: • Un type d'attaque dans le cadre du quel un intrus y pénètre au niveau du système pour recueillir des informations sur les vulnérabilités • Les attaques de reconnaissance prennent plusieurs formes tel que , les Torjon, le Phishing, les courriers indésirables, l’ingénierie de réseaux sociaux, les liens hypertexte malveillants ou encore les applications antivirus gratuites Attaques d'accès: • Ce type d’attaques vient souvent après avoir effectué une série d’attaques de reconnaissance • Les types d'attaques d'accès sons souvent des attaques de mot de passe, d’exploitation de niveaux de privilège élevés, de redirection du port, d’attaque de l'homme au milieu « Man in the Middle »
  • 32. Formation Cisco ASA Domaines d’application des pare feu ASA Attaques DoS Denial Of Service : • Une attaque de déni de service est une cyber-attaque où l'auteur cherche à rendre une ressource réseau indisponible pour ses utilisateurs en perturbant temporairement ou indéfiniment les services d'un hôte connecté à Internet. • Le déni de service est généralement accompli en inondant la ressource ciblée avec des demandes superflues fictives empêchant certaines ou toutes les demandes légitimes d'être remplies Figure illustrative de type d’attaque DDOS
  • 33. Formation Cisco ASA Domaines d’application des pare feu ASA ▪ Les pare feus CISCO ASA offrent des fonctionnalités pour se protéger contre ces attaques: La permission et le déni du trafic réseau: • Dans ce cas, la permission ou le déni sont concrètement mis en œuvre à travers l’application des listes de contrôle d’accès sur les interfaces du pare feu dans les deux directions de flux à savoir entrants ou sortants. • Il est possible d’appliquer des règles aux trafiques non IP via l’application des listes d’accès de type EtherType Liste d'accès Ether Type L’application de NAT Network Access Translation: • Etant donné la non routabilité des adresses IP privés, le rôle de NAT est de rendre possible un tel accès via une traduction des adresses IP utilisées au niveau réseau local en adresse IP publiques louées du FAI « Fournisseur d’accès internet Configuration basique de NAT La protection des fragmentations IP: • L’attaque de fragmentation IP est une procédure de communication dans laquelle les datagrammes IP sont divisés en petits paquets, transmis sur un réseau puis remontés dans le datagramme original Notions sur la fragmentation IP
  • 34. Formation Cisco ASA Domaines d’application des pare feu ASA ▪ Les pare feu CISCO ASA offrent des fonctionnalités pour se protéger contre ces attaques: L’utilisation des AAA à travers les trafiques: • AAA est l’abréviation de « Authentication, Authorization and Accounting », c’est un protocole qui règle les procédures d’authentification et autorisation au niveau du réseau Cisco ASA et configuration AAA Le traitement des flux Web HTTP/HTTPS et FTP: • Les listes de contrôle d’accès « ACL » montrent leurs limites quant il s’agit de contrôle du trafic web, en raison de la taille et de la nature dynamique du trafic Web • Le pare feu ASA dédie un serveur proxy Web baptisé Cisco Web Security Appliance dédié pour un contrôle plus raffiné des flux Web Cisco Web Security Appliance L’inspection des applications: L’inspection des applications est nécessaire pour les services qui intègrent des informations d'adressage IP dans leurs paquets de données, CISCO ASA offre des inspections d’application sur plusieurs niveaux Inspections d'application
  • 35. Formation Cisco ASA Domaines d’application des pare feu ASA L’application des politiques QoS: • Certains trafics réseau, tels que les trafics relatifs à la transmission audio visuelle, ne peuvent tolérer de longs temps de latence. QoS est une technologie qui permet de préciser la priorité à ces types de trafic Configuration de QoS pour le pare feu ASA L’application des limites de connexions TCP/UDP: • ASA utilise un mécanisme d’inspection à échelle rudimentaire, qui protège les systèmes internes d'une attaque DoS tel que TCP SYNFLOOD en empêchant toute forme de connexions embryonnaires qui sont des demandes de connexion qui n’ont pas terminés la procédure de HAND CHECK nécessaire Application des limites pour le pare feu ASA La détection d’attaques d’intrusion: • La fonction de détection de menace de numérisation détermine quand un hôte est sujet d’analyse, la fonction IDS d'analyse ASA maintient une base de données dynamique qui contient des statistiques qui servent à effectuer des analyses en temps réel.
  • 36. Formation Cisco ASA Domaines d’application des pare feu ASA Le contrôle des trafic BOTNET: • Le Filtre de trafic de Botnet vérifie les connexions entrantes et sortantes contre une base de données dynamique de noms de domaine et d'adresses IP suspectes puis enregistre toute activité douteuse. • Les logiciels malveillants qui tentent des activités de réseau tel que l'envoi de données privées peuvent être détectés par le filtre de trafic Botnet Cisco ASA et Botnet L’application de VPN pour la sécurisation de connexions: • ASA fonctionne comme un point de terminaison de tunnel bidirectionnel à travers une connexion sécurisée s'appelle un tunnel. • ASA utilise des protocoles de tunnel pour négocier des paramètres de sécurité, créer et gérer des tunnels, encapsuler des paquets, les transmettre ou les recevoir à travers le tunnel Les filtres VPN pour le pare feu ASA
  • 37. Formation Cisco ASA Stratégies de défenses ▪ Avant d’entamer les stratégies de défense, il faut noter que les pare feu ASA fonctionnent selon deux modes: Le mode routé Routed: • En mode routé, le pare feu ASA est considéré comme un saut de routeur dans le réseau Le mode transparent: • En mode transparent, le pare feu ASA agit comme une un pare-feu discret, dans ce cas le pare feu ASA se connecte au même réseau au niveau de ses interfaces intérieures et extérieures • Un pare-feu transparent est aussi utilisé pour simplifier la configuration réseau et ne pas tirer l’attention aux hauteurs d’attaques qu’un pare feu existe déjà au niveau du réseau ▪ Comme une première stratégie, il est possible de partitionner un pare feu ASA en plusieurs périphériques virtuels, appelés contextes de sécurité. ▪ Chaque contexte est un dispositif indépendant, avec sa propre politique de sécurité, ses interfaces et ses administrateurs. Les contextes multiples sont similaires à ceux de plusieurs périphériques autonomes. ▪ La configuration globale du système n'inclut aucune interface réseau ou paramètres pour elle-même. Plutôt lorsque le système accède aux ressources du réseau, il utilise l'un des contextes désignés comme contexte administratif
  • 38. Formation Cisco ASA Stratégies de défenses ▪ Comme une deuxième stratégie, il est possible d’utiliser plusieurs pare feu ASA ensembles comme une seule unité logique souvent connue sous le nom de Cluster ▪ Un Cluster fournit tous la commodité d'un seul périphérique de point de vue de gestion et d’ intégration dans un réseau ▪ Toute la configuration sera faite uniquement sur l'unité maître, la configuration est ensuite répliquée aux autres unités esclaves Figure illustrative d’une topologie adoptant un mécanisme de pare feu en mode de balancement Failover
  • 39. Formation Cisco ASA Ce qu’on a vu ▪ Evolution des pare feu CISCO ▪ Domaines d’applications des pare feu ASA ▪ Stratégies de défenses
  • 40. Formation Cisco ASA La simulation ASA pour GNS3 1.x sous Windows Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 41. Formation Cisco ASA Le plan ▪ La simulation de ASA avec GNS3 1.x sous Windows
  • 42. Formation Cisco ASA La simulation de ASA avec GNS3 1.x sous Windows ▪ Cette méthode est idéale pour les ordinateurs à ressources limitées en terme de micro processeur et mémoire vive ▪ Elle nécessite les éléments suivants: • Le fichier assistant d’installation GNS3-All-In-One • Le fichier de simulation de mémoire pour ASA à savoir asa842-initrd.gz • Le fichier de simulation du noyau pour ASA à savoir asa842-vmlinuz • Le fichier FLASH de simulation d’espace de stockage • La clé d’activation
  • 43. Formation Cisco ASA Ce qu’on a vu ▪ La simulation de ASA avec GNS3 1.x sous Windows
  • 44. Formation Cisco ASA Simulation ASA pour GNS3 2.x sous Windows Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 45. Formation Cisco ASA Le plan ▪ Simulation de ASA pour GNS3 2.x
  • 46. Formation Cisco ASA Simulation de ASA pour GNS3 2.x ▪ Cette méthode moins utilisée par apport à la première vu quelle nécessite beaucoup plus de ressources ▪ Contrairement à la version précédente, la virtualisation de ASA se base sur VMWare et non pas QEMU ▪ Cette simulation nécessite les éléments suivants: • Le fichier d’installation GNS3-All-In-One • La machine virtuelle GNS3 VM • Le fichier ciscoasav.gns3a • Le disque virtuel ASAv • La clé d’activation
  • 47. Formation Cisco ASA Ce qu’on a vu ▪ Simulation de ASA pour GNS3 2.x
  • 48. Formation Cisco ASA Ajout de l’interface graphique ASDM Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 49. Formation Cisco ASA Le plan ▪ Ajout de l’interface graphique ASDM
  • 50. Formation Cisco ASA Ajout de l’interface graphique ASDM ▪ ASDM est « Cisco Adaptative Security Device Manager » c’est l’interface graphique qui permet de configurer et de gérer le pare feu ASA ▪ Voici un lien vers le guide d’utilisation Guide d'utilisation de ASDM ▪ Pour le cas de simulation GNS3 il sera nécessaire • Le fichier binaire asdm-x.bin • Un serveur TFTP exemple tftpd32-64 • La machine virtuelle java installée • Une carte réseau de bouclage Une figure qui montre l’interface graphique ASDM
  • 51. Formation Cisco ASA Ce qu’on a vu ▪ Ajout de l’interface graphique ASDM
  • 52. Formation Cisco ASA Simulation de ASA avec GNS3 sous Linux Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 53. Formation Cisco ASA Le plan ▪ Simulation de ASA avec GNS3 sous Linux
  • 54. Formation Cisco ASA Ce qu’on a vu ▪ Simulation de ASA avec GNS3 sous Linux
  • 55. Formation Cisco ASA Gestion des fichiers de configuration Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 56. Formation Cisco ASA Le plan ▪ Accès, modification et sauvegarde de configurations
  • 57. Formation Cisco ASA Evolution des pare feu CISCO ▪ Il existe deux instances de configuration au niveau du pare feu Cisco ASA: • La configuration initiale startup-configuration • La configuration courante running-configuration ▪ Toute commande entrée en cours est écrite directement dans running-config et prend effet immédiatement. ▪ Il est possible de voir les paramètres de cette configuration à travers la commande show runnig-configuration à partir du mode privilégié. ▪ Puisque la configuration en cours d'exécution est écrite dans la mémoire vive RAM, si l'appareil est soudainement mis hors tension, il perdra toute modification de configuration effectuée qui n'était pas précédemment enregistrée ▪ Pour enregistrer la configuration en cours d'exécution, il faut utiliser l’une des commandes copy runnig- configuration startup-configuration ou write memory, ce qui permet à la configuration courante d’être sauvegardée au niveau de la mémoire flash du pare feu ▪ Ou exporter les configurations vers l’extérieur de la mémoire Flash à l’aide d’un serveur TFTP
  • 58. Formation Cisco ASA Ce qu’on a vu ▪ Accès, modification et sauvegarde de configurations
  • 59. Formation Cisco ASA Présentation des modes d'accès Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 60. Formation Cisco ASA Le plan ▪ Les modes d’accès
  • 61. Formation Cisco ASA Evolution des pare feu CISCO ▪ Il existe 4 principaux niveaux de modes d’accès au niveau de l’invite de la CLI ASA Monitor mode: Il présente l’invite monitor>, c’est un mode spécial qui vous permet de mettre à jour l'image sur le réseau ou d’ effectuer le recouvrement de mot de passe. Le mode est accessible par le maintient de la touche Echappe ou Pause lors de la mise sous tension du pare feu Mode non privilégié: Il présente l’invite ciscoasa>, il est disponible lors du premier accès au pare feu. Ce mode offre une vue restreinte de sécurité. Il n’est pas possible de configurer n'importe quoi dans ce mode Mode privilégié: Il présente l’invite ciscoasa#, Permet de modifier les paramètres actuels. Toutes les commandes non privilégiée fonctionnent également dans ce mode, Vous pouvez voir la configuration courant en utilisant la commande show running-config mais, vous ne pouvez rien configurer jusqu'à maintenant, vous devez accéder au mode de configuration
  • 62. Formation Cisco ASA Evolution des pare feu CISCO Mode configuration : Il présente l’invite ciscoasa(config)#. Ce mode est parfois appelé souvent le mode de configuration globale car il permet d’effectuer des modifications à l’échelle globale. Ce mode mène aussi à des sous modes de configuration encore plus spécifiques tel que le mode de configuration des interfaces ciscoasa ciscoasa(config-if)# Résumé des modes d’accès au niveau du pare feu CISCO ASA
  • 63. Formation Cisco ASA Ce qu’on a vu ▪ Les modes d’accès
  • 64. Formation Cisco ASA Les niveaux de sécurité Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 65. Formation Cisco ASA Le plan ▪ Présentation de la notion niveaux de sécurité ▪ Enumération des niveaux de sécurité
  • 66. Formation Cisco ASA Présentation de la notion niveaux de sécurité ▪ Puisque chaque interface du pare-feu représente un réseau spécifique ou une zone de sécurité bien déterminée, en utilisant les niveaux de sécurité il est possible d’assigner des niveaux de confiance différents aux divers réseaux appelés également zones de sécurité ▪ Les niveaux de sécurité sont représentés par des nombres entre 0 et 100 ▪ La première règle principale appliquée dans le cadre des niveaux de sécurité, c’ est qu'une interface ou une zone de sécurité avec un niveau supérieur peut accéder à une interface avec un niveau inférieur ▪ Une interface avec un niveau inférieur ne peut pas accéder à une interface avec un niveau relativement plus élevé, sans l'autorisation explicite appliquée à travers d'une règle de sécurité souvent effectuée à l’aide d’une ACL « liste de contrôle d'accès » ▪ Une exception à la règle générale concerne les flux entrants/sortants de la même transaction, qui permet un échange réciproque du trafic sans éventuel blocage des flux en provenance des zones de sécurité dont le niveau de sécurité est inférieur ▪ Au cas d’égalité des niveaux de sécurité de deux ou plusieurs zones de sécurité, l’échange n’est possible qu’après l’exécution de la commande same-security-traffic permit inter-interface
  • 67. Formation Cisco ASA Enumération des niveaux de sécurité ▪ Voici à présent les différents niveaux de sécurité Le niveau de sécurité 0: • Il s'agit du niveau de sécurité le plus bas attribué par défaut aux interfaces dites outside du pare-feu • Ce niveau de sécurité est normalement affecté à l'interface connectée à Internet. • Cela signifie que tous les périphériques connectés à Internet ne peuvent pas avoir accès à n'importe quel réseau derrière le pare-feu, sauf autorisation explicite à l’aide d'une règle ACL Zone de sécurité OUTSIDE
  • 68. Formation Cisco ASA Enumération des niveaux de sécurité Le niveau de sécurité de 1 à 99: • Ces niveaux de sécurité peuvent être affectés principalement aux zones réseaux dites démilitarisées ou DMZ où le niveau de confiance est partiel • On affecte typiquement le numéro 50 pour représenter une zone de confiance partielle Zone de sécurité zone démilitarisée DMZ
  • 69. Formation Cisco ASA Enumération des niveaux de sécurité Le niveau de sécurité de 100: C'est le niveau de sécurité est le plus élevé, il est attribué par défaut à l’interface inside du pare-feu C'est le niveau de sécurité le plus sûre, il doit être assigné en conséquence au réseau d'entreprise interne derrière le pare feu. Zone de sécurité INSIDE
  • 70. Formation Cisco ASA Ce qu’on a vu ▪ Présentation de la notion niveaux de sécurité ▪ Enumération des niveaux de sécurité
  • 71. Formation Cisco ASA Configuration initiale de ASA Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 72. Formation Cisco ASA Le plan ▪ Configuration initiale du pare feu ASA
  • 73. Formation Cisco ASA Configuration initiale du pare feu ASA ▪ Il existe pratiquement six étapes pour mener une configuration initiale du pare feu ASA à savoir: • Configurer le mot de passe du mode privilégié • Configurer la ligne de commande à distance • Attribuer un nom au pare feu • Configurer les interfaces du pare feu • Configurer le routage par défaut au coté extérieur outside • Configurer le temps Configuration de mot de passe à niveau privilégié: • Par défaut, il n'y a pas de mot de passe pour accéder au pare-feu ASA, donc la première étape avant de faire autre chose il faut configurer un mot de passe à niveau privilégié ciscoasa(config)# enable password pa$$w0rd Configuration de la gestion de la ligne de commande à distance: • Pour activer SSH sur le pare-feu, il faut d'abord créer un nom d'utilisateur / mot de passe pour l'authentification, puis générer la clé de cryptage RSA ciscoasa(config)#username bechir password pa$$w0rd ciscoasa(config)#aaa authentication ssh console LOCAL ciscoasa(config)# crypto key generate rsa modulus 1024
  • 74. Formation Cisco ASA Configuration initiale du pare feu ASA • Il est possible aussi de spécifier une liste des hôtes qui peuvent y accéder via cette connexion SSH et ce là à travers les commandes ciscoasa(config)#ssh @IP_interne 255.255.255.255 inside ciscoasa(config)#ssh @IP_externe 255.255.255.255 outside ciscoasa(config)#ssh @IP_DMZ 255.255.255.255 DMZ Configuration du nom de hôte hostname: • Le nom d'hôte par défaut pour les pare feu Cisco ASA est ciscoasa. Il est recommandé de configurer un nom d'hôte unique pour un nouveau pare-feu
  • 75. Formation Cisco ASA Configuration initiale du pare feu ASA Configuration des interfaces: • Les interfaces du pare feu Cisco ASA sont numérotées Ethernet0/0, Ethernet0/1, Ethernet0 / 2 etc. Configuration de l’interface outside: smartandskilledFW(config)#int Ethernet0/0 smartandskilledFW(config)#nameif outside smartandskilledFW(config)#no shutdown smartandskilledFW(config)#ip address 100.0.0.1 Configuration de l’interface DMZ: smartandskilledFW(config)#int Ethernet0/0 smartandskilledFW(config)#nameif DMZ smartandskilledFW(config)#security-level 50 smartandskilledFW(config)#no shutdown smartandskilledFW(config)#ip address 172.16.0.1 Configuration de l’interface inside: smartandskilledFW(config)#int Ethernet0/0 smartandskilledFW(config)#nameif intside smartandskilledFW(config)#no shutdown smartandskilledFW(config)#ip address 192.168.0.1
  • 76. Formation Cisco ASA Configuration initiale du pare feu ASA Voici la figure qui représente la topologie à configurer Figure qui montre la topologie à configurer
  • 77. Formation Cisco ASA Configuration initiale du pare feu ASA Configuration du routage statique par défaut: • Il est possible aussi de configurer le routage par défaut au niveau de l’interface externe pour assurer le transfert du trafic smartandskilledFW(config)#route outside 0.0.0.0 0.0.0.0 200.0.0.254 Adresse du saut suivant Configuration du temps: • Il est possible de configurer le temps au niveau du pare feu ASA pour des buts de synchronisation, dans ce cas Il aura deux alternatives à savoir la configuration directe du pare feu ou la synchronisation avec un serveur NTP « Network Time Protocol » server Option1: smartandskilledFW(config)#clock set 12:53:00 21 june 2017
  • 78. Formation Cisco ASA Configuration initiale du pare feu ASA Option2: smartnskilledFW(config)# ntp server 10.1.23.45 source inside Il est possible aussi de sécuriser la connexion entre le pare feu ASA et le serveur NTP smartnskilledFW(config)# ntp authenticate smartnskilledFW(config)# ntp authentication-key 32 md5 secretkey1234 smartnskilledFW(config)# ntp trusted-key 32 smartnskilledFW(config)# ntp server 10.1.2.3 key 32 source inside Dans ce cas la clé secrète doit être partagée par les deux équipements à savoir le pare feu et le serveur NTP
  • 79. Formation Cisco ASA Ce qu’on a vu ▪ Configuration initiale du pare feu ASA
  • 80. Formation Cisco ASA Un petit tour ASDM Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 81. Formation Cisco ASA Le plan ▪ Présentation de l’interface graphique ASDM
  • 82. Formation Cisco ASA Présentation de l’interface graphique ASDM ▪ ASDM « Adaptative Security Device Manager » met le focus sur deux principaux axes à savoir: • La configuration • Le monitoring ▪ La configuration du pare feu ce fait selon deux modes à savoir: • Méthode globale assistée à travers les Wizard • Méthode manuelle détaillée à travers l’onglet Configuration
  • 83. Formation Cisco ASA Présentation de l’interface graphique ASDM ▪ ASDM fournit quatre types d’assistants de configuration Wizard à savoir: L’assistant de configuration initiale Setup Wizard: • Il permet l’initialisation de configuration du pare feu, comme le nom du pare feu, le nom du domaine, le secret, les propriétés des interfaces, la configuration du NAT « Network Access Translation », la configuration HTTP, la mise à jour du système et il clôture avec un sommaire des modifications L’assistant de configuration VPN VPN Wizard: • Il propose quatre formes de configurations relatives à: ✓ La configuration VPN Site-To-Site ✓ La configuration VPN AnyConnect ✓ La configuration VPN Client ✓ La configuration IPSEC L’assistant de configuration de hautes disponibilités et des balancements HA and Scalability Wizard • Il permet de configurer les pare feu ASA en mode cluster, il n’est disponible sous certaines licences non basiques
  • 84. Formation Cisco ASA Présentation de l’interface graphique ASDM L’assistant de configuration des communications unifiées Unified Comunication Wizard • Il permet de configurer les modes de communications média tel que les conversations téléphoniques, il nécessite au moins la configuration de deux interfaces L’assistant de configuration de capture de paquets Packet Capture Wizard • Cet assistant permet la configuration de la fonctionnalité de capture et d’analyse des trafics entrants et sortants, il permet aussi la sauvegarde des analyses effectués ▪ L’onglet de configuration propose le paramétrage identique proposé par les Wizard mais sa fournir de l’assistance pas à pas tel que proposé par les Wizard ▪ Il est possible de lancer les Wizard à partir de l’interface de configuration ▪ Le mode de configuration propose aussi des paramétrages qu’on peut pas trouver en mode assisté tel que les paramétrages relatifs au queue de priorités, les configurations SSL et la gestion des certificats, la configuration des options de démarrages
  • 85. Formation Cisco ASA Présentation de l’interface graphique ASDM ▪ Outre que la configuration, le monitoring et le contrôle est le deuxième volet important proposé par l’interface ASDM ▪ L’interface de ADSM est conçue à ce qu’elle fournit le maximum des informations nécessaires en une seule page web ASDM adopte le mode graphique modulaire pour représenter ces informations ▪ Le contrôle et la supervision du système se fait sur deux niveaux • Un niveau global proposé par l’onglet Home • Un niveau détaillé proposé au niveau de l’onglet Monitoring
  • 86. Formation Cisco ASA Présentation de l’interface graphique ASDM ▪ Au niveau onglet Home ASDM propose • Des informations générales sur l’appareil • Des informations sur les licences • L’état des ressources RAM/CPU • L’état du trafic et des interfaces • Les derniers journalisations SysLog du pare feu ▪ Le mode Home propose aussi des informations sur l’infrastructure réseau • Les statistiques du réseau • Les taux de refus de paquets • Les taux des attaques SYN FLOOD possibles • Les top 10 règles d’accès appliquées • Les top 10 état d’usage services, sources, destinations, utilisateurs • Les top 10 serveurs protégées contre les attaques SYN FLOOD • Les top 200 hôtes sous le contrôle du pare feu
  • 87. Formation Cisco ASA Présentation de l’interface graphique ASDM ▪ L’onglet Monitoring quant à lui, il représente des statistiques qui concernent essentiellement • Les connexions VPN: ✓ Les connexions VPN Site-To-Site ✓ Les connexions VPN Clients ✓ Les tunnels IPSEC • Le routage: ✓ Les LSA ou état de lien d’annonce « Link State Advertisements » ✓ Les voisins OSPF ✓ Les voisins EIGRP ✓ Les routes • Les propriétés diverses du système ✓ Les processus par CPU ✓ L’audit des IP ✓ Le cache DNS ✓ L’accès au pare feu ▪ Ainsi que la configuration et le paramétrage de la journalisation
  • 88. Formation Cisco ASA Présentation de l’interface graphique ASDM ▪ Le menu Tools représente un ensemble d’utilités accès intéressantes comme • L’assistance à l’utilisation des outils comme Packet Tracer, Ping et Trace Route • La gestion des fichiers situé au niveau du pare feu en mode graphique • La gestion des mises à jour • Les opération de sauvegarde et de restauration des fichiers de configuration • La possibilité d’intégrer des Sniffer comme Wire Shark à ASDM pour plus de contrôle des paquets
  • 89. Formation Cisco ASA Ce qu’on a vu ▪ Présentation de l’interface graphique ASDM
  • 90. Formation Cisco ASA Configuration initiale de ASA sous Packet Tracer Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 91. Formation Cisco ASA Le plan ▪ Quelques remarques à propos de ASA 5505 et Packet Tracer ▪ Simulation de ASA 5505 sous Packet Tracer
  • 92. Formation Cisco ASA Quelques remarques à propos de ASA 5505 et Packet Tracer ▪ Cisco ajoute un élément pare feu ASA 5505 à partir de la version 6 de Packet Tracer qui admet les propriétés suivantes • Le par feu ASA 5505 est utilisé dans les réseaux de petites tailles • Le pare feu ASA 5505 ne permet pas la configuration de contextes multiples • En mode transparent, il est possible de configurer jusqu’à 8 ponds de groupes « Bridge Group » • Chaque pond de groupe « Bridge Group » peut contenir jusqu’à 4 VLANs • Il supporte l’utilisation des adresses IPV6 • Les interfaces sont uniquement utilisées à travers les VLANs qui représentent les zones réseaux ▪ La simulation sous Packet Tracer représente des vraies limites: • ASDM « Adaptative Security Device Manager » n’est pas intégrée • Il n’est possible d’utiliser la commande nameif que seulement pour attribuer au plus deux noms d’interfaces • Un grand ensemble de commandes est absent exemple la création de groupes d’objets est réduite à la création des objets réseaux seulement sous Packet Tracer • La licence utilisée sous Packet tracer est basique, par conséquent, il n’est pas possible de configurer certaines fonctionnalités comme le balancement « Failover Cluster »
  • 93. Formation Cisco ASA ▪ Packet Tracer présente déjà deux VLANs préconfigurés à savoir: • Le VLAN 1 qui représente le réseaux interne, il est nommé inside • Le VLAN 2 qui représente le réseaux externe, il est nommé outside ▪ Le VLAN 1 est préconfiguré avec l’adresse 192.168.1.1 ▪ Le VLAN 2 est préconfiguré pour avoir une adresse à partir du serveur DHCP appartenant au réseau externe ▪ Le pare feu ASA est configuré comme serveur DHCP pour servir les interfaces et les VLANs faisant partie du réseau interne ▪ Le contrôle de NAT « Network Access Translation » est actif par défaut, ce qui force la configuration de NAT même lorsqu'il s’agit d’utilisation des adresses privés du coté du réseau externe Quelques remarques à propos de ASA 5505 et Packet Tracer
  • 94. Formation Cisco ASA Simulation de ASA sous Packet Tracer ▪ Voici à présent la topologie crée sous Packet Tracer ▪ Il faut configurer la NAT « Network Access Translation » smartnskilledFW(config)# object network net-192.168.0 smartnskilledFW(config-object-network)# subnet 192.168.0.0 255.255.255.0 smartnskilledFW(config-object-network)# nat (inside,outside) dynamic interface smartnskilledFW(config)#exit
  • 95. Formation Cisco ASA Simulation de ASA sous Packet Tracer ▪ Voici à présent la topologie crée sous Packet Tracer ▪ Il faut aussi configurer l’inspection d’application pour le trafic ICMP et le trafique Web smartnskilledFW(config)# class-map global-class smartnskilledFW(config)# match default-inspection-traffic smartnskilledFW(config)# policy-map GLOBAL smartnskilledFW(config)# class global-class smartnskilledFW(config)# inspect icmp | icmp http smartnskilledFW(config)# service-policy GLOBAL global
  • 96. Formation Cisco ASA Ce qu’on a vu ▪ Quelques remarques à propos de ASA 5505 et Packet Tracer ▪ Simulation de ASA 5505 sous Packet Tracer
  • 97. Formation Cisco ASA Simulation de ASAv sous VMware Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 98. Formation Cisco ASA Le plan ▪ Enumérer Avantages/Désavantages ▪ Préparation de ASAv sous VMware
  • 99. Formation Cisco ASA Enumérer Avantages /Désavantages ▪ Les Avantages • Utiliser les dernières versions de ASA sans avoir l’obligation d’utiliser GNS3 2.x pour des raisons ✓ La familiarité avec l’outil VMware plutôt que GNS3 2.x ✓ Le facteur consommation des ressources ✓ Seule la version 8(4).2 qui existe en mode d'émulation QEMU • L’équipe GNS3 déclare que la version 8(4).2 montre une certaine instabilité • Pour le cas de ASAv sous VMware la simulation beaucoup plus stable • Pour le cas de passage de CCIE, il faut compter sur les images IOSv L2/L3et ASAv plutôt que les images émulées dans un contexte GNS3 • Pour le cas d’utilisation des routeurs, des commutateurs et des hôtes réels, dans ce cas, il est possible de simuler ASA avec un hôte équipé des cartes réseaux ▪ Les désavantages ✓ Le mode de tape est QWERTY ✓ Pour les machines à ressources limitées il sera difficile de choisir cette option
  • 100. Formation Cisco ASA Ce qu’on a vu ▪ Enumérer Avantages/Désavantages ▪ Préparation de ASAv sous VMware
  • 101. Formation Cisco ASA La notion des objets Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 102. Formation Cisco ASA Le plan ▪ Présentation de la notion d’objets ▪ Les types d’objets ▪ Opérations sur les objets
  • 103. Formation Cisco ASA Présentation de la notion d’objets ▪ Avant de définir le terme d’objets, il faut imaginer la situation des administrateurs au niveau d’un réseau énorme avec des centaines d'hôtes protégés par un Pare-feu. ▪ L’application des règles à des centaines d’hôtes dans un environnement distribué dont la structure est ramifiée constitue une tâche fastidieuse même pour un groupe d’administrateurs réseau ▪ Pour y remédier Cisco a introduit la notion d’objet et groupe d’objets qui permet à l'administrateur de pare-feu à regrouper des objets tels que des hôtes, des réseaux, des ports, etc. dans des objets identifiables par un nom unique ▪ Ces objets peuvent ensuite être utilisés au niveau des listes ACLs ou encore au niveau des processus NAT pour identifier les adresses relatives aux réseaux internes à traduire ▪ En outre, tout les changements seront effectués au niveau de l’objet et seront automatiquement appliqués au niveau de la liste d'accès ACL ou le processus NAT en question ▪ Il n’est pas possible d’ effacer un objet tant qu’il est utilisé par une autre ressource tel que une liste ACL ou un processus NAT
  • 104. Formation Cisco ASA Les types d’objets ▪ Il existe deux types d’objets à savoir: Réseau: • Utilisé pour regrouper les hôtes ou les sous-réseaux, souvent utilisé au niveau des processus NAT • Cet objet contient un hôte, un réseau ou une rangé d’adresses Service: • Utilisé pour regrouper les divers ports utilisé par des services dans un seul objet ▪ Les identifiants doivent être uniques même si les types des objets diffèrent, par exemple, un objet réseau et un objet service ne doivent pas porter le même nom
  • 105. Formation Cisco ASA Opérations sur des groupes d’objets ▪ Exemple de création d’objets réseau: ▪ Exemple de création d’ objets service: object service tcp_www_ssh description objet service source web et destination ssh protocol tcp source eq www destiantion eq 443 object network admin description @ip administrateur host 172.16.0.1 object network net-192.168.0 description @ip 192.168.0.0 subnet 192.168.0.0 255.255.255.0 object network net-192.168.0 description @ip rangé 172.16 privée range 172.16.0.0 172.31.255.255
  • 106. Formation Cisco ASA Opérations sur les objets ▪ Exemple de modification de groupe d’objets: object service icmp-types service-object icmp6  cette entrée ajoute le service icmp6 au service1 ▪ Exemple de suppression de groupe d’objets : no object icmp-types
  • 107. Formation Cisco ASA Ce qu’on a vu ▪ Présentation de la notion d’objets ▪ Les types d’objets ▪ Opérations sur les objets
  • 108. Formation Cisco ASA Les groupes d’objets Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 109. Formation Cisco ASA Le plan ▪ Présentation de la notion et les types de groupes objets ▪ Opérations sur les groupes d’objets
  • 110. Formation Cisco ASA Présentation de la notion de groupes d’objets ▪ Les groupes d’objets peuvent d’être définit tout simplement comme des conteneurs d’objets ▪ Les groupes d’objets sont de 5 types: • Les objets de groupe réseau qui contiennent des objets réseau • Les objets de groupe services qui contiennent des objets service • Les objets de groupe protocoles qui contiennent des objets protocole • Les objets de groupe de types ICMP qui contiennent des types de message ICMP • Les objets de groupe utilisateurs qui contiennent des utilisateurs locaux ou importé ▪ Les nom des groupes d’objets ainsi que les nom d’objets doivent être uniques ▪ Pour certaine versions ASA les objets IPV6 ne peuvent pas être imbriqués dans des groupes d’objets, en d’autres termes vous ne pouvez pas joindre un objet IPv6 sous un groupe d'objets IPv6
  • 111. Formation Cisco ASA Opérations sur les groupes d’objets ▪ Exemple de création de groupe d’objets réseau object-group network adesse-privees network-object object net-192.168.0 network-object object net-172.16-priv network-object object net-10.0.0 network-object host 10.0.0.2 ▪ Exemple de création de groupe d’objets services object-group service ports-bloque service tcp source eq 80 destination eq 443 service tcp source eq 81 destination eq 443 service-object ssh-bloqué  où ssh-bloqué est un objet service déjà crée ▪ Exemple de création de groupe d’objets protocole object-group service protocols_tcp_udp_icmp protocol-object tcp protocol-object udp protocol-object icmp
  • 112. Formation Cisco ASA Opérations sur les groupes d’objets ▪ Exemple de création de groupe d’objets types ICMP object-group icmp-type icmp-echo-echo_replay icmp-object echo icmp-object echo-relay ▪ Exemple de création de groupe d’objets types utilisateurs object-group user moi user bechir password test ▪ Exemple de détachement d’un objet de groupe d’objets object-group network adresses-privees no network-object host 10.0.0.1 ▪ Exemple de suppression d’un groupe d’objets no object-group network adresses-privees
  • 113. Formation Cisco ASA Ce qu’on a vu ▪ Présentation de la notion et les types de groupes objets ▪ Opérations sur les groupes d’objets
  • 114. Formation Cisco ASA La gestion des objets avec ASDM Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 115. Formation Cisco ASA Le plan ▪ La gestion des objets avec ASDM
  • 116. Formation Cisco ASA La gestion des objets avec ASDM ▪ Voici à présent comment créer et gérer les objets et les groupes d’objets à l’aide de ASDM Figure qui représente l’interface de configuration des objets au niveau de ASDM
  • 117. Formation Cisco ASA Ce qu’on a vu ▪ La gestion des objets avec ASDM
  • 118. Formation Cisco ASA Rappel sur les ACLs Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 119. Formation Cisco ASA Le plan ▪ Définition des ACLs ▪ Les types des ACLs étendues
  • 120. Formation Cisco ASA Définition des ACLs ▪ ACL c’est l’acronyme de « Access Control List » ou liste de contrôle d’accès ▪ Les ACL ou listes de contrôle d’accès sont définies comme un ensemble de règles qui permettent de préciser les paquets qui doivent être acceptés ou refusés par apport à un réseau donné ▪ Voici un exemple d’une ACL standard: access-list 1 deny 192.168.1.0 access-list 1 permit any ▪ Voici un exemple d’une ACL étendue: access-list 102 permit tcp any any eq www access-list 102 permit icmp host 192.168.0.1 any echo-reply access-list 102 permit tcp any 20.0.0.0 0.0.0.255 eq 21 access-list 102 deny tcp 10.0.0.0 0.0.0.255 any eq 20 access-list 102 permit tcp 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255 eq 25 access-list 102 permit ip any any
  • 121. Formation Cisco ASA Définition des ACLs ▪ Toujours avec le même exemple access-list 102 permit tcp any any eq www access-list 102 permit icmp host 192.168.0.1 any echo-reply access-list 102 permit tcp any 20.0.0.0 0.0.0.255 eq 21 access-list 102 deny tcp 10.0.0.0 0.0.0.255 any eq 20 access-list 102 permit tcp 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255 eq 25 access-list 102 permit ip any any ▪ La règle à suivre toujours c’est que toute permission qui n’est pas explicitement exprimée, elle engendrera automatiquement un déni implicite
  • 122. Formation Cisco ASA Définition des ACLs ▪ Il faut toujour commencer par les règles spécifiques avant les règles générales dans l’ordre à partir du haut vers le bas ▪ Exemple de ACL mal configurée access-list 102 deny ip 192.168.0.0 any access-list 102 permit ip host 192.168.0.1 any ▪ Exemple de la même ACL correctement configurée access-list 102 permit ip host 192.168.0.1 any access-list 102 deny ip 192.168.0.0 any ▪ Il ne faut pas aussi définir une ACL avec une seule entrée qui exprime un déni, ce là va totalement bloquer tout trafic entrant et sortant indépendamment des protocoles, sources et destinations une fois la liste de contrôle d’accès est appliquée ▪ Les groupes d'accès ou access-group sont utilisés pour appliquer les ACLs que se soit sur des interfaces réseaux, plus précisément sur les flux entrant/sortant ou sur les processus tel que la NAT « Network Access Translation »
  • 123. Formation Cisco ASA Définitions des ACLs ▪ Il existe deux catégories de liste d’accès de contrôle ACL, à savoir les • ACL standards « Standard Access Control List » • ACL étendues « Extended Access Control List » Les ACL standards Les ACL étendues Filtrent les flux sur la base de @IP Source Filtrent les flux sur la base de @IP Source, @IP destination et le port Applicables coté destination Applicables coté source L’identifiant: 1-99 et 1300-1999 L’identifiant: 100-199 et 2000-2699
  • 124. Formation Cisco ASA Les types des ACLs étendues ▪ Les ACL étendues, comprennent à leur tour une variété d’ACL • ACL Réflexives ✓ Elles permettent l’ajout dynamique des connexions en provenance du réseau en temps réel • ACL Temporelles ✓ Elles sont applicables sur la base d’intervalles de temps • ACL basées IPV6 ✓ Elles sont applicables sur la base d’adressage IPV6 • ACL verrouillage à clé ✓ Elles sont applicables sur la base d’authentification des utilisateurs • ACL Ether Type ✓ Elles représentent un type spécial d’ACLs applicables principalement dans un contexte de pare feu ASA ✓ Elles s’appliquent pour le cas d’utilisation du mode transparent ou il n’ y a pas de configurations basées sur le protocole IP
  • 125. Formation Cisco ASA Ce qu’on a vu ▪ Définition des ACLs ▪ Les types des ACLs étendues
  • 126. Formation Cisco ASA Scénario 1 Cas d'accès à un serveur interne Web et FTP Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 127. Formation Cisco ASA Le plan ▪ Scénario 1 Cas d'accès à un serveur interne Web et FTP
  • 128. Formation Cisco ASA Scénario 1 Cas d'accès à un serveur interne Web et FTP ▪ Voici à présent la topologie qu’on va utiliser pour le cas de ce scénario Figure qui représente la topologie à étudier
  • 129. Formation Cisco ASA Ce qu’on a vu ▪ Scénario 1 Cas d'accès à un serveur interne Web et FTP
  • 130. Formation Cisco ASA Le Bilan Présentée par: Béchir BEJAOUI Formateur et consultant indépendant
  • 131. Formation Cisco ASA Le Bilan de la formation ▪ Les chapitres Chapitre 0: Chapitre introductif Chapitre I: Les premiers pas Chapitre II: Les objets, groupes d’objets et ACL Chapitre III: La conclusion
  • 132. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre 0: Chapitre introductif Chapitre I: Les premiers pas Simulation de ASA avec GNS3 1.x sous Windows Simulation de ASA avec GNS3 2.x sous Windows Ajout de l'interface Graphique ASDM Simulation de ASA avec GNS3 sous Linux Gestion des fichiers de configuration Les types de menaces Les types de pare feu Le pare feu ASA
  • 133. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre I: Les premiers pas Présentation des modes d'accès Les niveaux de sécurité Configuration initiale de ASA Un petit tour ASDM Simulation de ASA sous Packet tracer Simulation de ASAv sous VMware
  • 134. Formation Cisco ASA Le plan de la formation ▪ Les chapitres Chapitre II: Les objets, notions d’objets et ACLs Chapitre III: Le Bilan Introduction de la notion d'objets Introduction de la notion de groupe objets La gestion des groupes d'objets avec ASDM Rappel sur la notion Les ACLs Scénario 1 Cas d'accès à un serveur interne Web et FTP Le Bilan