Cisco Asa-ok.pdf

Cisco ASA Thomas Moegli Ing. HES Télécommunications - Réseaux et Sécurité IT

1

Cisco ASA - 18 octobre 2015

Cisco ASA

Présentation

2

Cisco ASA - 18 octobre 2015

Introduction à Cisco ASA

๏

Cisco ASA est le firewall Stateful le plus déployée en entreprise

๏

Analyse du flux complet de trafic avec la fonction Cisco Application Visibility and Control (AVC)

Cisco ASA

Thomas Moegli

๏

FirePOWER Next-Generation IPS (NGIPS)

๏

Filtrage URL par réputation et par catégorie

๏

Fonctionnalités de VPN

3

3

Cisco ASA - 18 octobre 2015

Fonctions ASA

Fonction

Description ๏ L’ASA propose un service de firewall avec gestion des états TCP ou UDP pour les connexions qui transitent par

Stateful Firewall VPN Concentrator Intrusion Prevention

lui ๏ Seuls les paquets qui correspondent à une connexion active sont autorisées par le firewall, les autres sont rejetés ๏ L’ASA supporte les connexions IPsec et SSL en Remote Access et les connexions VPN Site-to-Site

๏ Tous les modèles ASA supportent des fonctionnalités basiques d’IPS ๏ Des analyses plus détaillées peuvent être implémentés en ajoutant une carte ou un module d’extension Cisco

Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC)

Thomas Moegli

4

4

Cisco ASA - 18 octobre 2015

Fonctions ASA

Fonctionnalités avancées Fonction

Description ๏ Une appliance physique peut être partition en plusieurs instances virtuelles appelés contextes de sécurité

Virtualisation

(Security Contexts) ๏ Chaque contexte est considéré comme un périphérique indépendant, avec ses propres règles, interfaces et administrateurs ๏ La plupart des fonctionnalités IPS sont supportées excepté VPN et les protocoles de routage dynamiques ๏ Deux ASA peuvent être reliés dans un mode de fonctionnement Active/Standby pour permettre la

Haute disponibilité

Identity Firewall

Threat Control

redondance d’équipements et ala tolérance de pannes ๏ Un ASA est promu comme périphérique primaire (Active) tandis que l’autre est mis en mode StandBy ๏ Le software, les licences, la mémoire et les interfaces doivent être identiques sur les deux ASA ๏ L’ASA permet un contrôle d’accès en utilisant les informations d’authentification d’un annuaire Active Directory ๏ Permet de créer des règles permettant des utilisateurs ou groupes d’utilisateurs au lieu de règles traditionnels

basées sur les adresses IP ๏ En plus des fonctions IPS, des outils anti-malware et gestion des risques peuvent être ajoutés via le module

Content Security and Control (CSC)

Thomas Moegli

5

5

Cisco ASA - 18 octobre 2015

Fonctions ASA

Résumé

๏

Filtrage de paquets

๏

Filtrage Stateful

๏ Support VPN

๏

Filtrage et inspection applicative

๏ Groupe d’objets (Object groups)

๏

Network Address Translation (NAT)

๏ Filtrage du trafic de botnets

๏

DHCP

๏ Haute disponibilité

๏

Routage

๏ Support AAA

๏

Implémentation Layer 3 ou Layer 2

Thomas Moegli

6

6

Cisco ASA - 18 octobre 2015

Fonctions ASA

Fonctionnalités avancées : Virtualisation ๏

Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par exemple trois clients différents Périphérique ASA Customer 1

Security Context A Customer 2

Internet Security Context B Customer 3

Security Context C

Thomas Moegli

7

7

Cisco ASA - 18 octobre 2015

Fonctions ASA

Fonctionnalités avancées : Haute disponibilité ๏

Le trafic provenant de PC 1 préfère utiliser le chemin passant par ASA-1

๏

ASA-1 et ASA-2 sont des périphériques identiques configurés pour la redondance. Chaque équipement surveille l’activité de l’autre via le lien LAN Failover

๏

Si ASA-2 détecte que ASA-1 est défaillant, alors ASA-2 devient périphérique Primary/Active et le trafic est redirigé par lui. ASA-1 Primary/Active 10.1.1.0/29

Internet

.1 .1

192.168.1.0/24

.1 .3

10.2.2.0/30 .2

PC-A LAN Failover

.2

.2

ASA-2 Secondary/Standby

Thomas Moegli

8

8

Cisco ASA - 18 octobre 2015

Fonctions ASA

Fonctionnalités avancées : Identity Firewall ๏

Un client qui tente d’accéder à des ressources sur un serveur doit d’abord s’authentifier en utilisant Microsoft Active Directory

Internet Client

Server

ASA

Microsoft Active Directory

Thomas Moegli

AD Agent

9

9

Cisco ASA - 18 octobre 2015

Fonctions ASA

Fonctionnalités avancées : IDS/IPS ๏

Des fonctionnalités IPS peuvent être ajoutés via des modules additionnels ๏ Le module Cisco Advanced Inspection and Prevention Security Services Modules (AIP-SSM) peut être utilisé sur le

périphérique ASA 5540 ๏ Le module Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) peut être utilisé pour le périphérique

ASA 5505

Thomas Moegli

10

10

Cisco ASA - 18 octobre 2015

Quelques exemples de produits ASA

ASA 5505

ASA 5510 ASA 5520, 5540, 5550

ASA 5585 Thomas Moegli

11

11

Cisco ASA - 18 octobre 2015

Modèles ASA

Thomas Moegli

12

12

Cisco ASA - 18 octobre 2015

Modèles ASA

ASA 5505

๏

Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales

๏

Il comporte un pare-feu haute performance, SSL VPN, IPsec VPN et plusieurs services réseaux dans une même appliance.

Thomas Moegli

13

13

Cisco ASA - 18 octobre 2015

Modèles ASA

ASA 5505 : Présentation (panneau avant)

3

2 1

5 4

Description

7 6

Description

1 Interface USB 2.0

5 Indicateur Active

2 Indicateurs Speed et Link

6 Indicateur VPN

3 Indicateur d’alimentation (Power)

7 Indicateur Security Service Card (SSC)

4 Indicateur de status

Thomas Moegli

14

14

Cisco ASA - 18 octobre 2015

Modèles ASA

ASA 5505 : Présentation (panneau avant) 2 : Indicateurs Speed et Link ๏ Si la LED Speed est verte, le lien fonctionne à 100 Mb/s, aucune LED indique 10 Mb/s 3

๏ Si la LED Activity est verte, le lien réseau est établi et fonctionnel 1

๏ Si la LED Activity clignote, cela signifie de l’activité réseau

5

2 4

7 6

4 : Status LED ๏ Un indicateur vert clignotant indique que le système démarre et effectue le POST ๏ Un indicateur vert fixe indique que le système a passé les tests et qu’il est opérationnel ๏ Un indicateur orange indique des problèmes sur le système

5 : Active LED ๏ Un indicateur vert fixe indique que le Cisco ASA est configuré pour la tolérance de panne

6 : VPN LED ๏ Un indicateur vert fixe indique qu’un ou plusieurs tunnels VPN sont actifs

7 : Security Services Card (SSC) LED ๏ Un indicateur vert fixe indique qu’une carte SSC est présent dans le slot SSC Thomas Moegli

15

15

Cisco ASA - 18 octobre 2015

Modèles ASA

ASA 5505 : Présentation (panneau arrière) 2 8

3

4

6

7

5

1

Description

Description

1 Alimentation électrique (48 VDC)

5 Bouton de réinitialisation (Reset)

2 Slot pour Security Services Card (SSC)

6 2 ports USB 2.0

3 Port Console série

7 Ports Ethernet 10/100 (ports 0 - 5)

4 Slot pour câble anti-vol (Kensington)

8 Ports PoE (Power of Ethernet) 10/100 (ports 6 et 7)

Thomas Moegli

16

16

Cisco ASA - 18 octobre 2015

Modèles ASA

ASA 5505 : Présentation (panneau arrière) 2 8

3 7

4

6 5

1

2 : Slot pour extension avec Security Service Card (SSC) ๏ Permet l’ajout d’une carte Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) pour installer les

services de prévention d’intrusion

6 : Ports USB pour l’installation de services additionnels 7 : 8 Ports Switch Ethernet 10/100 ๏ Chaque port peut être groupé pour créer jusqu’à 3 VLAN séparés

8 : Les ports 6 et 7 sont PoE et simplifient le déploiement de téléphones IP Cisco ou points d’accès WiFi

Thomas Moegli

17

17

Cisco ASA - 18 octobre 2015

Modèles ASA

ASA 5520 : Présentation

1

3 2

5

4

8

6 Description

7

Description

1 Slots pour Security Services Modules (SSM)

5 Slot pour carte Flash

2 2 ports USB 2.0

6 Indicateurs LED Power, Status, Active, VPN, Flash

3 Interface de management Out of Band (OOB)

7 Port Console série

4 4 ports FastEthernet

8 Port auxiliaire

Thomas Moegli

18

18

Cisco ASA - 18 octobre 2015

Licences ASA

๏

Les appliances ASA sont pré-installées avec soit : ๏ Une licence de base (Base Licence) ๏ Une licence Security Plus

๏ Les licences peuvent être perpétuelles ou à durée limitée (time-based) ๏ Souvent, les licences à durée limitée sont utilisés pour des produits qui nécessitent un abonnement pour obtenir les mises à

jour (Botnet Inspection par ex.)

Thomas Moegli

19

19

Cisco ASA - 18 octobre 2015

Licences ASA

Activation ASA# activation-key 682fd277 c4874bb7 f533b52c c660c844 8422d892 ASA# show activation-key Serial Number: JMX1316M41H Running Activation Key: 0x2174cf47 0x945b4c3a 0x74159120 0xba2ca848 0x8f602feb

๏

Les clés de licence sont saisies avec la commande activation-key ASA# activation-key

๏

Pour voir les licences activées sur l’ASA, il faut entrer : ๏ ASA# show show activation-key activation-key ๏ show-version ASA# show version

Licensed features for this platform: Maximum Physical Interfaces : 8 VLANs : 3, DMZ Restricted Inside Hosts : 10 Failover : Disabled VPN-DES : Enabled VPN-3DES-AES : Enabled VPN Peers : 10 WebVPN Peers : 2 Dual ISPs : Disabled VLAN Trunk Ports : 0 AnyConnect for Mobile : Disabled AnyConnect for Linksys phone : Disabled Advanced Endpoint Assessment : Disabled UC Proxy Sessions : 2 This platform has a Base license.

Thomas Moegli

The flash activation key is the SAME as the running key.

20

20

Cisco ASA - 18 octobre 2015

Licences ASA

Activation ASA# show version


Licensed features for this platform: Maximum Physical Interfaces : 8 perpetual VLANs : 3 DMZ Restricted Dual ISPs : Disabled perpetual VLAN Trunk Ports : 0 perpetual Inside Hosts : 10 perpetual Failover : Disabled perpetual VPN-DES : Enabled perpetual ASA# activation-key VPN-3DES-AES : Enabled perpetual AnyConnect Premium Peers : 2 perpetual AnyConnect Essentials : Disabled perpetual Other VPN Peers : 10 perpetual Total VPN Peers : 25 perpetual Shared License : Disabled perpetual AnyConnectASA# for Mobile : Disabled perpetual show activation-key AnyConnect for Cisco VPN Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual ASA# show version: 2 UC Phone Proxy Sessions perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual This platform has a Base license. Serial Number: JMX15364077 Running Permanent Activation Key: 0x970bc671 0x305fc569 0x70d21158 0xb6ec2ca8 0x8a003fb9 Configuration register is 0x41 (will be 0x1 at next reload) Thomas Moegli Configuration last modified by enable_15 at 10:03:12.749 UTC Fri Sep 23 2011

21

21

Cisco ASA - 18 octobre 2015

Licences ASA

Licences partagées et serveur de licence Zürich Cisco ASA 5505 Licence Server

Lausanne

Genève Cisco ASA 5505 Participant and Backup Licence Server

Cisco ASA 5505 Participant

Thomas Moegli

22

22

Cisco ASA - 18 octobre 2015

Licences ASA

Licences partagées et serveur de licence

๏

Le serveur de licence est partagé

๏

Les autres appliances fonctionnent comme participants

๏

Un participant peut être configuré comme serveur de licence de secours (Backup License Server) ๏ Un seul participant peut être serveur de secours

๏ Les licences sont distribuées aux participants par blocs de 50 licences ๏ Le participant va demander un nouveau bloc de 50 si le nombre actuel de licences restantes dans le bloc actuel est

inférieur à 10 unités. ๏ Les licences sont renvoyées sur le serveur de licences si

Thomas Moegli

23

23

Cisco ASA - 18 octobre 2015

Cisco ASA

Terminologie

24

Cisco ASA - 18 octobre 2015

Niveaux de sécurité ASA ๏

Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level)

๏

Le niveau de sécurité définit la confiance accordée à une interface (ou plusieurs interfaces dans le cas de l’ASA 5505) ๏

Plus le niveau est élevé, plus la confiance accordée est importante

๏

Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100 (confiance totale)

Chaque interface opérationnelle doit avoir :

๏ ๏

Un nom

๏

Un niveau de sécurité entre 0 et 100

๏

Une adresse IP (si on place l’ASA en mode Routed)

Par défaut :

๏ ๏

Toute interface nommée inside se verra automatiquement attribué un niveau de sécurité = 100

๏

Toute interface nommée outside se verra automatiquement attribué un niveau de sécurité = 0

Thomas Moegli

25

25

Cisco ASA - 18 octobre 2015

Niveaux de sécurité ASA ๏

Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à la destination ๏ LAN ➔ WAN autorisé (car LAN = 100 > WAN = 0) ๏ WAN ➔ DMZ interdit (car WAN = 0 < DMZ = 50)

๏

Pour la DMZ, il est nécessaire d’ajouter des règles autorisant 


LAN 192.168.1.0/24

WAN

Security Level : 100

Security Level : 0

un trafic précis depuis le WAN ๏

L’autorisation du trafic de retour se fait automatiquement grâce à la 
 fonction Statefull Inspection du Cisco ASA

๏

DMZ 192.168.10.0/24 Security Level : 50

Si deux interfaces ont même niveau de confiance, la configuration par défaut d’ASA fait qu’ils ne peuvent communiquer

Thomas Moegli

26

26

Cisco ASA - 18 octobre 2015

Niveaux de sécurité

ASA2# show nameif Interface Name Vlan4 out Vlan7 dmz Vlan100 inside

Security 0 50 100

Thomas Moegli

27

27

Cisco ASA - 18 octobre 2015

Types d’accès Server Implicit Deny inbound Sec-lvl = 100

Sec-lvl = 0 outside

inside

Internet

Implicit Permit outbound Permit Inbound through ACL

Sec-lvl = 0 p1

Sec-lvl = 50 Implicit deny between 02 partner interfaces

dmz p2

Permit Inbound through ACL

Sec-lvl = 0

Thomas Moegli

28

28

Cisco ASA - 18 octobre 2015

Terminologie ASA

๏

Inside Network ๏ Réseau protégé et placé derrière le firewall

๏ DMZ ๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles par les clients (Visibilité

limitée) ๏ Outside network ๏ Réseau en dehors de la protection du firewall

Thomas Moegli

29

29

Cisco ASA - 18 octobre 2015

Terminologie ASA Outside

E0

Internet

DMZ E1

Inside E2

Web Srv ASA

๏

Le trafic issu du réseau Outside à destination du réseau Inside est refusé

๏

Le trafic issu du réseau DMZ à destination du réseau Inside est refusé

Thomas Moegli

Clients

30

30

Cisco ASA - 18 octobre 2015

Terminologie ASA

Mode Routed vs Transparant Le périphérique ASA peut opérer dans un des 2 modes suivants : ๏ Mode Routed (par défaut) ๏

Mode de déploiement traditionnel pour un firewall

๏

Sépare deux domaines de couche 3

๏

Permet également la configuration NAT

๏

10.2.1.0/24 10.2.1.1

ASA

10.1.1.1

Applique les règles aux flux de trafic qui transitent par ce firewall
 Ne permet pas le filtrage de paquets entre deux hôtes du même sous-réseau

10.1.1.0/24

๏ Mode Transparent ๏

Opère sur la couche 2

๏

S’intègre sur les réseaux existants sans devoir redéfinir l’adressage IP

๏

Simplifie le filtrage interne et la segmentation des réseaux

๏

Permet la protection et le filtrage sur un même sous-réseau

ASA

.1

10.1.1.3

.2 10.1.1.0/29

Thomas Moegli

31

31

Cisco ASA - 18 octobre 2015

Terminologie ASA

Mode Routed Outside Internet

Outside 100.1.2.0/24 E0

DMZ Web Srv 10.1.3.3

Source NAT 10.1.1.113 ➔ 100.1.2.3

DMZ 10.1.3.0/24

Inside

E1 E2 ASA

Thomas Moegli

Inside 10.1.1.0/24

10.1.1.113

32

32

Cisco ASA - 18 octobre 2015

Terminologie ASA

Mode Routed Outside Internet

Outside 100.1.2.0/24 E0

Destination NAT (Statique) 100.1.2.3 ➔ 10.1.3.3 10.1.1.113 100.1.2.3

DMZ Web Srv 10.1.3.3

DMZ 10.1.3.0/24

Inside

E1 E2 ASA

Thomas Moegli

Inside 10.1.1.0/24

10.1.1.113

33

33

Cisco ASA - 18 octobre 2015

Terminologie ASA

Mode Transparant Outside

๏

Le trafic doit être explicitement autorisé

๏

Chaque réseau directement connecté doit faire partie

Internet

๏

Outside

du même sous-réseau L’adresse IP de management doit être également sur le même sous-réseau

10.1.1.0/24

E0

๏

NE PAS spécifier l’adresse IP de l’interface de management comme passerelle par défaut

E2

๏ Les périphériques doivent indiquer le routeur comme

.199

Inside 10.1.1.113

Management

passerelle par défaut

ASA

Inside

๏ Chaque interface doit être sur une interface VLAN

différente

Thomas Moegli

34

34

Cisco ASA - 18 octobre 2015

Terminologie ASA

Mode Transparant Les fonctions suivantes ne sont pas supportés en mode Transparent : ๏

NAT

๏

Protocoles de routage dynamiques

๏

Routage multicast

๏

Pas de support d’adresses IPv6 Anycast

๏

DHCP Relay

๏

Qualité de service (QoS)

๏

Point de terminaison VPN

Thomas Moegli

35

35

Cisco ASA - 18 octobre 2015

Configuration ASA

Configurer le mode de fonctionnement ๏

Le mode par défaut est Routed

๏

Utiliser le mode Transparant avec la commande firewall transparent
 
 ASA(config)# firewall transparent 
 Switched to transparent mode 
 ASA# show firewall Firewall mode : Transparent

๏

Pour revenir au mode Routed, utiliser la commande no firewall transparent ASA(config)# no firewall transparent Switched to router mode ASA# show firewall Firewall mode : Router

Thomas Moegli

36

36

Cisco ASA - 18 octobre 2015

Configuration ASA

Mode Transparent : Configurer ARP Inspection

๏

ARP : Address Resolution Protocol

๏

En premier, ajouter une entrée ARP statique. ARP Inspection compare les paquets ARP avec les entrées ARP de la table ARP
 ASA(config)# arp outside 10.1.1.99 0001.5c32.6c81 arp outside 10.1.1.99 934903248

๏

Activer ARP Inspection avec la commande suivante :
 lkfjdlksfjdslfkj ASA(config)# arp-inspection outside enable no-flood

Thomas Moegli

37

37

Cisco ASA - 18 octobre 2015

Security Context ๏

Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par exemple trois clients différents Périphérique ASA Customer 1

Security Context A Customer 2

Internet Security Context B Customer 3

Security Context C

Thomas Moegli

38

38

Cisco ASA - 18 octobre 2015

Configuration ASA

Création d’un Security Context ๏

Commande de configuration globale : context ASA(config)# context nom-contexte

ASA(config)# context customer1 Creating context ‘customer1’...Done (4) ASA(config-ctx)# description customer 1 context ASA(config-ctx)# ASA(config-ctx)# allocate-interface gigabitethernet0/1.101 int1 ASA(config-ctx)# allocate-interface gigabitethernet0/1.102 int2 ASA(config-ctx)# ASA(config-ctx)# config-url disk0:context1.cfg INFO: Converting disk0:context1.cfg to disk0/context1.cfg WARNING: Could not fetch the URL disk0:/context1.cfg INFO: Creating context with default config

Thomas Moegli

39

39

Cisco ASA - 18 octobre 2015

Configuration ASA

Changer le Security Context ASA# changeto context customer1 ASA/customer1# show run : Saved : ASA Version 9.1(3) ! hostname customer1 enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface int 1 no nameif no security-level no ip address ! interface int2 no nameif no security-level no ip address Thomas Moegli

40

40

Cisco ASA - 18 octobre 2015

Security Context : Cas d’utilisation

๏

Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients ๏ Coûts réduits, réduction des équipements physiques tout en offrant une séparation de trafic entre clients

๏ Grande entreprise ou campus qui désire séparer les départements (Segmentation) ๏ Toute organisation qui désire que son réseau soit sécurisée par plus d’un ASA

Thomas Moegli

41

41

Cisco ASA - 18 octobre 2015

Security Context : Fonctions Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 : ๏

Protocoles de routage dynamiques ๏ EIGRP ๏ OSPFv2

๏ VPN ๏ IKE v1 ๏ IKEv2 Site-to-Site VPN

๏ Mélanges de modes de firewall ๏ Avant la version 9.0, tous les contextes devaient être configurés en mode Transparent ou Routed ๏ Après la version 9.0, il est possible de mélanger des contexts en mode Transparent avec des contexts en mode Routed

Thomas Moegli

42

42

Cisco ASA - 18 octobre 2015

Cisco ASA

Configuration initiale

43

Cisco ASA - 18 octobre 2015

ASA CLI ๏

Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco

๏

Comme les routeurs IOS Cisco, l’ASA reconnait les éléments suivants : ๏ Abréviation des commandes et mots-clés ๏ Utilisation de la touche Tab pour compléter une commande partielle ๏ Utilisation de la touche (?) pour voir la syntaxe

๏ Contrairement aux routeurs IOS, l’ASA : ๏ Permet d’exécuter n’importe quelle commande ASA quel que soit le mode de configuration affiché et ne reconnait pas la

commande do utilisé en mode de configuration globale sur les routeurs IOS ๏ L’interruption des commandes show se fait via la touche Q (contrairement à la séquence Ctrl+C utilisé sur les routeurs IOS)

Thomas Moegli

44

44

Cisco ASA - 18 octobre 2015

ASA CLI

Commandes IOS et équivalents ASA Commande routeur IOS

Commande ASA

enable secret password

enable password password

line con 0
 password password
 login

passwd password

ip route

route outside

show ip interfaces brief

show interface ip brief

show ip route

show route

show plan

show switch vlan

show ip nat translations

show xlate

copy running-config startup-config

write [memory]

erase startup-config

write erase

Thomas Moegli

45

45

Cisco ASA - 18 octobre 2015

Accès au CLI

Connexion par console

Thomas Moegli

46

46

Cisco ASA - 18 octobre 2015

Accès au CLI

Connexion par console ๏

Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par défaut pour permettre la connectivité IP

๏

La configuration par défaut sur un Cisco ASA 5510 ou plus possède une interface de management activée avec l’adresse IP 192.168.1.1 pré-configurée

๏

Sur un Cisco ASA 5505, les interfaces switch (Ethernet0/0 - 0/7) sont actives. ๏ L’interface Ethernet0/0 est assignée au VLAN2, qui est supposée être l’interface associée au réseau Outside. ๏ Toutes les autres interfaces sont assignées au VLAN1 et sont considérés comme interfaces Inside. ๏ Le VLAN1 possède une adresse IP préconfigurée de 192.168.1.1/24 tandis que le VLAN2 est préconfigurée comme client

DHCP et reçoit une adresse IP dynamique.

Thomas Moegli

47

47

Cisco ASA - 18 octobre 2015

Accès au CLI

Connexion par Telnet

๏

Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet
 ASA(config)# telnet10.1.1.0 10.1.1.0 255.255.255.0 inside ASA(config)# telnet 255.255.255.0 inside

๏

IMPORTANT
 Telnet est un protocole non sécurisé. Il est recommandé d’utiliser SSH pour gérer le Cisco ASA ou tout autre périphérique.


Thomas Moegli

48

48

Cisco ASA - 18 octobre 2015

Accès au CLI

Configuration : Telnet ๏

Accès Telnet (si requis) ๏ SSH est recommandé plutôt que Telnet

passwd sécuriser l’accès Telnet/SSH via une authentification ๏ Même si l’authentification est sécurisée via la commande passwd,

AAA avec une base de données locale est recommandée ๏ Utiliser les commandes suivantes pour activer l’authentification AAA : ASA(config)# password password ๏ username nameusername passwordname password ๏ aaa authentication | ssh} console {LOCAL | TACACS-server | RADIUS-server} ASA(config)# aaa {telnet authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server} ๏ telnet host-ip host-mask inside host-mask inside ASA(config)# telnet host-ip ๏ telnet timeout minutes ASA(config)# telnet timeout minutes

ASA(config)# ASA(config)# ASA(config)# ASA(config)# ASA(config)#

username admin password class aaa authentication telnet console LOCAL telnet 192.168.1.3 255.255.255.255 inside telnet timeout 10

Thomas Moegli

49

49

Cisco ASA - 18 octobre 2015

Accès au CLI

Connexion par SSH

Etapes 1. Générer une clé RSA : ASA(config) ASA(config)# crypto key generate rsa modulus 1024 ๏ Sur le ASAv, la clé RSA est automatiquement générée après le déploiement ๏ La valeur modulus (en bits) doit être 512, 768, 1024 ou 2048 ๏ Plus le modulus est grand, plus la clé sera difficile à décrypter mais plus le temps pour la générer sera importante

2. Sauvegarder la clé RSA et la configuration avec la commande d’enregistrement mémoire :
 ASA# mem write mem write

Thomas Moegli

50

50

Cisco ASA - 18 octobre 2015

Accès au CLI

Connexion par SSH

Etapes ASA(config)# aaa authentication ssh console LOCAL 3. Activer l’authentification locale : ASA(config)

4. Créer un utilisateur dans la base de données locale : ASA(config)# username admin password sUp3rScrTP4$$ 5. Identifier les adresses IP sur lesquelles ASA accepte les connexions SSH :
 ASA(config)# ssh 10.1.1.0 255.255.255.0 inside

๏ Il est possible de limiter l’accès à une version de SSH particulière (v1 ou v2). Par défaut, SSH accepte les

deux versions
 ASA(config)# ssh version 2

Thomas Moegli

51

51

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : SSH ๏

Configuration similaire à Telnet mais requiert : ๏ Authentification AAA à activer ๏ Génération de clés RSA

๏ Pour vérifier la configuration SSH, utiliser la commande show ssh ASA(config)# username admin password class ASA(config)# aaa authentication ssh console LOCAL ASA(config)# crypto key generate rss modulus 1024 WARNING: You have a RSA keypair already defined named . Do you really want to replace them? [yes/no]: y
 Keypair generation process begin. Please wait... CCNAS-ASA(config)# ssh 192.168.1.3 255.255.255.255 inside CCNAS-ASA(config)# ssh timeout 10
 CCNAS-ASA(config)# exit
 CCNAS-ASA#
 CCNAS-ASA# show ssh
 Timeout: 5 minutes
 Versions allowed: 1 and 2
 192.168.1.3 255.255.255.255 inside
 CCNAS-ASA# Thomas Moegli

52

52

Cisco ASA - 18 octobre 2015

Accès au module de service Cisco ASA (Cisco ASA-SM) ๏

En premier, localiser le slot sur lequel le module est installé Switch# show Mod Ports --- ----2 3 Mod --2 ...

module Card Type -----------------------------------ASA Service Module

MAC addresses —————————————————————————————————————0022.bdd4.016f to 0022.bdd4.017e

Hw ----0.201

Model ------------------WS-SVC-ASA-SM1 Fw -----------12.2(2010080

Serial No. ----------SAD18372221

Sw -----------12.2(2010121

Status ------Ok

Sw# service-module session pour se connecter depuis le switch sur le module ASA-SM session ๏ Utiliser la commande service-module Switch# service-module session slot 2 ASA>

Thomas Moegli

53

53

Cisco ASA - 18 octobre 2015

Accès à la console ASAv

๏

Dans le client web VMware vSphere, cliquez-droit sur l’instance ASAv dans l’inventaire et choisir Open Console

๏

Ou sélectionnez l’instance et ouvrez l’onglet Console

Thomas Moegli

54

54

Cisco ASA - 18 octobre 2015

Accès à la console ASAv ๏

Il est possible également de configurer un port série dans VMware vSphere

๏

Sur l’ASAv, créez un fichier appelé use_ttyS0 use_ttyS0 dans le répertoire racine du disk0. disk0 .Ce fichier ne doit pas avoir de contenu, il doit simplement exister à l’emplacement suivant :
 disk0:/use_ttyS0 disk0:/use_ttyS0

๏

Depuis ASDL, il est possible de charger un fichier texte vide en utilisant Tools ➔ File Management. L’accès ASDM est discuté plus loin

๏

Sur la CLI, il est possible de copier un fichier existant et de le coller avec un nouveau nom. Par exemple :
 (config)# 
 ASAv# cd coredumpinfo

ASAv# copy coredumpinfo.cfg disk0:/use_ttyS0 asdasd

๏

Rechargez ensuite l’ASAv

Thomas Moegli

55

55

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

๏

Interface de management sur les modèles : ๏ L’ASA 5505 ne possède pas d’interface de management ๏ ASA 5506 : Management 1/1 ๏ ASA 5512-X et plus : Management 0/0 ๏ ASAv : Management 0/0

๏ Par défaut, l’adresse IP de l’interface de management : ๏ Appliances physiques : 192.168.1.1 ๏ ASAv : configuré par l’administrateur lors du déploiement

Thomas Moegli

56

56

Cisco ASA - 18 octobre 2015

ASA CLI

Assistant de configuration initiale

๏

Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA via les commandes write writeerase erase et reload reload erasestartup-config startup-config utilisé sur les routeurs IOS ๏ L’ASA ne reconnait pas la commande erase

๏ Une fois l’ASA redémarré, l’assistant de configuration initiale propose de configurer les éléments essentiels de l’ASA ๏ Cette méthode est optionnel, l’utilisateur peut répondre no pour ne pas utiliser l’assistant ๏ Cette méthode configure également les éléments essentiels pour l’accès à l’ASA via ASDM

Thomas Moegli

57

57

Cisco ASA - 18 octobre 2015

ASA CLI

Assistant de configuration initiale

๏

Les éléments suivants peuvent être configurés via l’assistant : ๏ Mode du firewall ๏ Mot de passe enable ๏ Méthode de recouvrement du mot de passe enable ๏ Date et heure ๏ Adresse IP et masque ๏ Nom d’hôte de l’ASA ๏ Nom de domaine

Thomas Moegli

58

58

Cisco ASA - 18 octobre 2015

ASA CLI

Assistant de configuration initiale … Pre-configure Firewall now through interactive prompts [yes]?
 Firewall Mode [Routed]:
 Enable password [<use current password>]: cisco
 Allow password recovery [yes]? Clock (UTC):
 Year [2012]:
 Month [Oct]:
 Day [3]:
 Time [03:44:47]: 6:49:00 Management IP address: 192.168.1.1 Management network mask: 255.255.255.0 Host name: CCNAS-ASA
 Domain name: ccnasecurity.com IP address of host running Device Manager: 192.168.1.2 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 6:49:00 Oct 3 2011 Firewall Mode: Routed Management IP address: 192.168.1.1 Management network mask: 255.255.255.0 Host name: CCNAS-ASA Domain name: ccnasecurity.com IP address of host running Device Manager: 192.168.1.2 Use this configuration and write to flash? yes INFO: Security level for "management" set to 0 by default. WARNING: http server is not yet enabled to allow ASDM access. Cryptochecksum: ba17fd17 c28f2342 f92f2975 1e1e5112 2070 bytes copied in 0.910 secs Type help or '?' for a list of available commands. CCNAS-ASA> Thomas Moegli

59

59

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

Configuration de l’accès ASDM

๏

Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur l’ASA
 
 ASA(config)# http server enable

ASA(config)# http 10.1.1.0 255.255.255.0 inside

๏

Spécifier l’image ASDM à utiliser
 ASA(config)# asdm image disk0:/asdm-731.bin

Thomas Moegli

60

60

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

Accès ASDM

Thomas Moegli

61

61

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

Accès ASDM

Thomas Moegli

62

62

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

Accès ASDM

Thomas Moegli

63

63

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

Accès ASDM

๏

Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante :
 ASA# clear configure http

Thomas Moegli

64

64

Cisco ASA - 18 octobre 2015

Accès ASDM via l’interface Management

Accès ASDM sur les modules ASA-SM

๏

Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM

๏

Il faut configurer l’accès ASDM en passant par la console CLI du ASA-SM et en s’y connectant par le moyen vu précédemment.

Thomas Moegli

65

65

Cisco ASA - 18 octobre 2015

Cisco ASA

Opérations de base

66

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration du nom d’hôte et nom de domaine

๏

ASA# hostname nomHote Pour configurer le nom d’hôte, utiliser la commande de configuration globale hostname



 ASA(config)# hostname monASA monASA(config)#

๏

Pour configurer le nom de domaine, utiliser la commande de configuration globale domain-name
 ASA# domain-name nomDomaine monASA(config)# domain-name cisco.com monASA(config)#

Thomas Moegli

67

67

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration du mot de passe

๏

Configurer le mot de passe pour l’authentification distant (Telnet/SSH)
 ASA(config)# password th1$isApasswd

๏

Configurer le mot de passe pour l’accès privilégié (enable)
 ASA(config)# enable password th1$isAnotherPasswd

Thomas Moegli

68

68

Cisco ASA - 18 octobre 2015

Opérations de base

Master Pass-Phrase ๏

La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée

๏

Une « clé universelle » est utilisée pour chiffrer tous les mots de passe

๏

Cette fonction est supportée pour : ๏ Authentification OSPF ๏ Authentification EIGRP ๏ VPN Load Balancing ๏ VPN (Remote Access et Site-to-Site) ๏ Tolérance de panne (Failover) ๏ Serveurs AAA ๏ Logins ๏ Licences partagées

Thomas Moegli

69

69

Cisco ASA - 18 octobre 2015

Opérations de base

Master Pass-Phrase : Configuration

Configuration d’une Master Passphrase :


๏


 ASA(config)# key config-key password-encryption 
 New key: **********


 Confirm key: ********** 


ASA(config)# password encryption aes

Thomas Moegli

70

70

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration date et temps

๏

Pour configurer le fuseau horaire :
 
 ASA(config)# clock timezone EST -5 
 ASA(config)# end

ASA# show clock 16:42:05.459 EST Wed Jan 7 2015

Thomas Moegli

71

71

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration date et temps

๏

Configuration manuelle de la date et de l’heure :
 
 ASA(config)# clock set 20:54:00 february 28 2015 
 ASA(config)# end 
 ASA# show clock

20:54:03.949 EST Sat Feb 28 2015

Thomas Moegli

72

72

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : NTP

๏

Activer l’authentification NTP :
 
 ASA(config)# ntp authenticate


 ASA(config)# ntp trusted-key 1

ASA(config)# ntp authentication-key 1 md5 th1$isAkey!

๏

Configurer le serveur NTP :
 ASA(config)# ntp server 10.11.12.123 key 1 prefer

๏

Il est possible de configurer plusieurs serveurs NTP. Le mot-clé prefer spécifie le serveur qui sera utilisé en priorité

Thomas Moegli

73

73

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Interfaces Inside et Outside

๏

Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est appliquée

๏

L’ASA 5505 dispose de 8 ports Ethernet pour du switching Layer 2. Le routage IP s’effectue en plusieurs étapes ๏ Configuration d’une ou plusieurs interfaces virtuelles (SVI : Switched Virtual Interfaces) inside et outside. La configuration

comprend l’assignation d’un nom d’interface, d’un niveau de sécurité et d’une adresse IP ๏ Assignation d’un port Layer 2 au SVI VLAN Inside ou Outside ๏ Il est possible de définir un troisième SVI pour définir par exemple une zone DMZ ๏ Toutefois, la licence de base pour un ASA 5505 ne permet qu’un nombre restreint de SVI

Thomas Moegli

74

74

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Interfaces Inside et Outside ๏

Configuration d’une interface SVI Inside ou Outside dans un VLAN particulier ASA(config)# interface vlan vlan-number ๏ interface vlan vlan-number : ASA(config-if)# nameif {inside | outside | name} ๏ nameif {inside | outside | name}

: Assignation d’un nom à l’interface

๏ security-level valuesecurity-level value ASA(config-if)#

: Assignation d’un niveau de sécurité sur l’interface SVI

๏ Par défaut, la valeur de l’interface Inside vaut 100 et l’interface Outside vaut 0

๏ ip ASA(config-if)# address ip-address ip netmask address ip-address netmask

: Configuration d’une adresse IP

CCNAS-ASA(config)# interface vlan 1
 CCNAS-ASA(config-if)# nameif inside
 INFO: Security level for "inside" set to 100 by default. CCNAS-ASA(config-if)# security-level 100
 CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0 CCNAS-ASA(config-if)# exit
 CCNAS-ASA(config)# interface vlan 2
 CCNAS-ASA(config-if)# nameif outside
 INFO: Security level for "outside" set to 0 by default. CCNAS-ASA(config-if)# security-level 0
 CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248 CCNAS-ASA(config-if)# exit Thomas Moegli

75

75

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Interfaces Inside et Outside

๏

Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme : ip address dhcp [setroute] ๏ Client DHCP via la commande ASA(config-if)# ip address dhcp [setroute] ๏ Client PPPoE via la commande ipASA(config-if)# address pope ip address pppoe [setroute]

๏ La configuration de l’ASA comme serveur DHCP sera vue plus loin

Thomas Moegli

76

76

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Interfaces Inside et Outside ๏

Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour créer d’autres zones, comme une zone DMZ

๏

Cependant, un ASA 5505 avec seulement une licence Basic ne supporte qu’un troisième SVI VLAN ๏ Ce SVI est limité pour initialiser les contacts sur un autre VLAN spécifique

๏ La commande suivante doit être configurée pour supporter le troisième VLAN SVI sur un ASA 5505 avec licence Basic :
 ASA(config)# no forward interface vlan vlan-id no forward interface plan vlan-id ๏ vlan-id spécifie le VLAN sur lequel l’interface ne peut initier de trafic ๏ Cette commande ne doit être configurée que lorsque les interfaces VLAN Inside et Outside sont configurées

๏ Le nouveau SVI doit également être nommé, posséder un niveau de sécurité ainsi qu’une adresse IP.

Thomas Moegli

77

77

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Assignation ports L2 aux VLANs ๏

Les ports Layer 2 doivent être assignées ensuite aux SVI VLAN crées précédemment ๏ Par défaut, tous les ports sont membres du VLAN 1

๏ La configuration se fait via les commandes suivantes : interface interface number ๏ ASA(config)# interface interface number

: Entrer en mode de configuration d’interface

๏ ASA(config-if)# switchport accessswitchport vlan vlan-id access vlan vlan-id

: Assignation du VLAN au port L2

๏ ASA(config-if)# no shutdown no shutdown

: Activation de l’interface

๏ Pour vérifier les paramètres VLAN, utiliser la commande show ASA# switch show switch vlan vlan CCNAS-ASA(config-if)# interface e0/1 CCNAS-ASA(config-if)# switchport access vlan 1 CCNAS-ASA(config-if)# no shut CCNAS-ASA(config-if)# exit CCNAS-ASA(config)# interface e0/0 CCNAS-ASA(config-if)# switchport access vlan 2 CCNAS-ASA(config-if)# no shut CCNAS-ASA(config-if)# exit
 CCNAS-ASA(config)# Thomas Moegli

78

78

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Assignation ports L2 aux VLANs CCNAS-ASA# show switch vlan
 VLAN Name Status ---—————————————————————- ——————————1 inside up 2 outside up CCNAS-ASA#
 CCNAS-ASA# show interface ip brief Interface IP-Address Ethernet0/0 unassigned Ethernet0/1 unassigned Ethernet0/2 unassigned Ethernet0/3 unassigned Ethernet0/4 unassigned Ethernet0/5 unassigned Ethernet0/6 unassigned Ethernet0/7 unassigned Internal-Data0/0 unassigned Internal-Data0/1 unassigned Vlan1 192.168.1.1 Vlan2 209.156.200.226 Virtual0 127.0.0.1 CCNAS-ASA#

OK? YES YES YES YES YES YES YES YES YES YES YES YES YES

Ports
 ------------------------------------------------------Et0/1, Et0/2, Et0/3, Et0/4 Et0/5, Et0/6, Et0/7 Et0/0

Method unset unset unset unset unset unset unset unset unset unset manual manual unset

Status up up administratively administratively administratively administratively administratively administratively administratively administratively up up up

Thomas Moegli

down down down down down down down down

Protocol up up up up up up up up up up up up up

79

79

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : DHCP

Configuration de l’ASA comme serveur DHCP ๏

Le nombre maximum de clients DHCP dépend de la licence :

Nombre d’hôtes par licence

Nombre maximum d’adresses IP disponibles pour DHCP

10 hôtes

32 adresses

50 hôtes

128 adresses

Illimité

256 adresses

Thomas Moegli

80

80

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : DHCP

Configuration de l’ASA comme serveur DHCP Spécifier un pool d’adresses DHCP


๏

ASA(config)# dhcpd address 192.168.1.131-192.168.1.175 inside

Spécifier les options du pool DHCP (Nom de domaine, serveurs DHCP, interface sur laquelle activer le pool)


๏


 ASA(config)# dhcpd dns 8.8.8.8 
 ASA(config)# dhcpd domain cisco.com 


ASA(config)# dhcpd enable inside

Thomas Moegli

81

81

Cisco ASA - 18 octobre 2015

Opérations de base

Vérification : DHCP CCNAS-ASA# show dhcpd binding 


IP address

Client Identifier

Lease

expiration

Type

CCNAS-ASA# show dhcpd state
 Context Configured as DHCP Server
 Interface inside, Configured for DHCP SERVER Interface outside, Configured for DHCP CLIENT CCNAS-ASA# show dhcpd statistics
 DHCP UDP Unreachable Errors: 0
 DHCP Other UDP Errors: 0 Address pools 1 Automatic bindings 0 Expired bindings 0 Malformed messages 0 Message Received BOOTREQUEST 0 DHCPDISCOVER 0 DHCPREQUEST 0 DHCPDECLINE 0 DHCPRELEASE 0 DHCPINFORM 0 Message Sent BOOTREPLY 0 DHCPOFFER 0 DHCPACK 0 DHCPNAK 0 Thomas Moegli

82

82

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Agent de relais DHCP

๏

Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface ๏ Si configuré de manière globale, il est nécessaire de spécifier l’interface sur laquelle le serveur DHCP est atteignable

ASA(config)# dhcprelay server 10.20.12.5 outside ASA(config)# dhcprelay enable dmz ๏ Configuration d’une interface pour les requêtes DHCP entrantes :



 ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# dhcprelay server 10.3.4.5

Thomas Moegli

83

83

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Interface de confiance DHCP et Timeouts

๏

Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP de confiance
 
 ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# dhcprelay information trusted ๏ Pour faire confiance à toutes les interfaces :

ASA(config)# dhcprelay information trust-all

๏ Configuration du timeout pour le relai de requêtes DHCP (par défaut : 60 sec) :
 ASA(config)# dhcprelay timeout 30

Thomas Moegli

84

84

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : DHCPv6 Relay

๏

Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interface outside
 
 ASA(config)# ipv6 dhcprelay server 1FFC:C00:C18:6:A8BB:AAFF:F123:1234 outside ASA(config)# dhcprelay enable dmz

Thomas Moegli

85

85

Cisco ASA - 18 octobre 2015

Opérations de base

Configuration : Route par défaut ๏

Si l’ASA est configuré comme client DHCP ou PPPoE, il est très probable qu’il reçoit sa route par défaut via le périphérique supérieure ๏ Dans le cas contraire, l’ASA requiert la configuration d’une route statique par défaut ๏ Pour vérifier la présence de la route, utiliser la commande show route ASA# show route

CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225 CCNAS-ASA(config)# show route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 209.165.200.225 to network 0.0.0.0 C 209.165.200.224 255.255.255.248 is directly connected, outside C 192.168.1.0 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via 209.165.200.225, outside CCNAS-ASA(config)# Thomas Moegli

86

86

Cisco ASA - 18 octobre 2015

Opérations de base

Vérification des paramètres de base CCNAS-ASA# show switch vlan
 VLAN Name Status ---- -------------------------------- --------1 inside up 2 outside CCNAS-ASA#
 CCNAS-ASA# show interface ip brief Interface IP-Address Ethernet0/0 unassigned Ethernet0/1 unassigned Ethernet0/2 unassigned Ethernet0/3 unassigned Ethernet0/4 unassigned Ethernet0/5 unassigned Ethernet0/6 unassigned Ethernet0/7 unassigned Internal-Data0/0 unassigned Internal-Data0/1 unassigned Vlan1 192.168.1.1 Vlan2 209.156.200.226 Virtual0 127.0.0.1 CCNAS-ASA#

up

OK? YES YES YES YES YES YES YES YES YES YES YES YES YES

Method unset unset unset unset unset unset unset unset unset unset manual manual unset

Ports
 ----------------------------Et0/1, Et0/2, Et0/3, Et0/4 Et0/5, Et0/6, Et0/7 Et0/0

Status up up administratively administratively administratively administratively administratively administratively up up up up up

down down down down down down

Thomas Moegli

Protocol up up up up down down down down up up up up up

87

87

Cisco ASA - 18 octobre 2015

Cisco ASA

Introduction à ASDM

88

Cisco ASA - 18 octobre 2015

Cisco ASDM

๏

Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la configuration, le monitoring et le troubleshooting d’un Cisco ASA

๏

ASDM est préchargé dans la mémoire Flash de n’importe quel ASA fonctionnant sur une version 7.0 et ultérieur

๏

ASDM peut être : ๏ Démarré comme application Java Web téléchargé dynamiquement depuis la mémoire Flash du routeur ASA ๏ Téléchargé depuis la mémoire Flash et installé sur un poste en tant qu’application Java complète permettant à un

administrateur de gérer plusieurs périphériques ASA

Thomas Moegli

89

89

Cisco ASA - 18 octobre 2015

Cisco ASDM

Démarrage ASDM

Etapes 1. Vérifier la connectivité avec l’ASA (Ping) 2. Ouvrir un navigateur Web et établir une connexion HTTP à l’ASA 3. Choisir de ๏

Installer ASDM en tant qu’application Java

๏

Démarrer ASDM en tant qu’application Web Java

๏

Démarrer l’assistant pour effectuer les paramètres initiaux

4. S’authentifier sur l’ASDM

Thomas Moegli

90

90

Cisco ASA - 18 octobre 2015

Cisco ASDM

Tableau de bord ASDM : Home - Device ๏

La page Home affiche un résumé du status opérationnel de l’ASA. Cette page est rafraichie toutes les 10 sec.

Thomas Moegli

91

91

Cisco ASA - 18 octobre 2015

Cisco ASDM

Tableau de bord ASDM : Home - Firewall ๏

La page Firewall affiche des informations de sécurité liées au trafic qui transite par l’ASA

Thomas Moegli

92

92

Cisco ASA - 18 octobre 2015

Cisco ASDM

Configuration d’hôte et mot de passe ๏

Configuration ➔ Device Setup ➔ Device Name/Password

Thomas Moegli

93

93

Cisco ASA - 18 octobre 2015

Cisco ASDM

Configuration des interfaces ๏

Configuration ➔ Device Setup ➔ Interfaces Settings ➔ Interfaces

Thomas Moegli

94

94

Cisco ASA - 18 octobre 2015

Cisco ASDM

Configuration des interfaces L2 ๏

Configuration ➔ Device Setup ➔ Interfaces ➔ Switch Ports

Thomas Moegli

95

95

Cisco ASA - 18 octobre 2015

Cisco ASDM

Configuration Telnet et SSH ๏

Configuration ➔ Device Management ➔ Management Access ➔ ASDM/HTTPS/Telnet/SSH

Thomas Moegli

96

96

Cisco ASA - 18 octobre 2015

Cisco ASA

Objects et Objects Groups

97

Cisco ASA - 18 octobre 2015

Objects et Objects Groups

๏

Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) via l’utilisation d’objets (Objects) ou groupes d’objets (Objects Groups)

๏

Un objet peut être défini par une adresse IP particulière, un sous-réseau ou un protocole (et optionnellement un numéro de port)

๏

L’avantage d’utiliser les objets est que, lorsque l’un des paramètres doit être modifié (adresse IP, port, …), les changements sont automatiquement appliquées aux règles utilisant cet objet

Thomas Moegli

98

98

Cisco ASA - 18 octobre 2015

Objets L’ASA supporte deux types d’objets : Network Object :

๏ ๏

Contient une adresse IP/Masque de sous-réseau

๏

Peut être défini pour un hôte, un sous-réseau ou un intervalle

Service Object :

๏ ๏

Contient un protocole ainsi (optionnel) qu’un port source et/ou destination

CCNAS-ASA(config)# object ? configure mode commands/options: network Specifies a host, subnet or range IP addresses service Specifies a protocol/port CCNAS-ASA(config)#

Un Network Object est requis pour configurer NAT

Thomas Moegli

99

99

Cisco ASA - 18 octobre 2015

Configuration d’un Network Object (CLI) ASA(config)# object network object-name Pour créer un Network Object, utiliser la commande de configuration globale object network object-name

๏ ๏

Un Network Object ne peut contenir qu’une seule adresse IP/Masque

๏ ๏

๏

On passe en mode de configuration de Network Object La saisie d’une adresse IP/Masque secondaire efface et remplace la configuration existante

Pour effacer tous les Network Objects, utiliser la commande clear ASA# config clear object config network object network

CCNAS-ASA(config)# object network EXAMPLE-1 CCNAS-ASA(config-network-object)# host 192.168.1.4 CCNAS-ASA(config-network-object)# range 192.168.1.10 192.168.1.20 CCNAS-ASA(config-network-object)# exit CCNAS-ASA(config)#
 CCNAS-ASA(config)# show running-config object object network EXAMPLE-1 range 192.168.1.10 192.168.1.20 CCNAS-ASA(config)# Thomas Moegli

100

100

Cisco ASA - 18 octobre 2015

Configuration d’un Network Object (ASDM)

๏

Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups

Thomas Moegli

101

101

Cisco ASA - 18 octobre 2015

Configuration d’un Service Object (CLI) ASA(config)# service object-name Pour créer un Service Object, utiliser la commande de configuration globale object networkobject object-name

๏ ๏

On passe en mode de configuration de Service Object

Un Service Object ne peut être associé qu’avec un seul protocole et port (ou ports)

๏ ๏

Si un Service Object existant est configuré avec un protocole et un port différents (ou des ports), la nouvelle configuration remplace les protocoles et ports existants avec les nouveaux.

CCNAS-ASA(config)# object service SERV-1 CCNAS-ASA(config-service-object)# service tcp destination eq ftp CCNAS-ASA(config-service-object)# service tcp destination eq www CCNAS-ASA(config-service-object)# exit CCNAS-ASA(config)#
 CCNAS-ASA(config)# show running-config object object service SERV-1 service tcp destination eq www CCNAS-ASA(config)# Thomas Moegli

102

102

Cisco ASA - 18 octobre 2015

Configuration d’un Service Object (CLI) Il existe 5 options de service : ASA(config)# service protocol [source [operator port]] [destination [operator port]] ๏

Spécifie un nom de protocole IP ou un numéro de port

ASA(config)# service tcp [source [operator port]] [destination [operator port]] ๏

Spécifie que le Service Object est pour le protocole TCP

ASA(config)# service udp [source [operator port]] [destination [operator port]] ๏

Spécifie que le Service Object est pour le protocole UDP

ASA(config)# service icmp icmp-type ๏

Spécifie que le Service Object est pour le protocole ICMP

ASA(config)# service icmp6 icmp6-type ๏

Spécifie que le Service Object est pour le protocole ICMP6

Thomas Moegli

103

103

Cisco ASA - 18 octobre 2015

Configuration d’un Service Object (ASDM)

๏

Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups

Thomas Moegli

104

104

Cisco ASA - 18 octobre 2015

Objects Groups

Les Objects Groups sont utilisés pour grouper les objets

๏

๏

๏

Les objets peuvent être rattachés ou détachés de plusieurs Objects Groups

๏

Cela permet d’éviter la duplication d’objets

Il est possible de créer plusieurs types de groupes d’objets : Network, Protocol, Type ICMP avec la commande :
 ASA(config)# object-group {network | protocol | icmp-type} group-name

๏

Il est également possible de créer des groupes d’objets de service via la commande :
 ASA(config)# object-group service group-name [tcp | udp | tcp-udp]

Thomas Moegli

105

105

Cisco ASA - 18 octobre 2015

Objects Groups ๏

Il existe 4 types de groupes d’objets :

Object-Group

Description

Network

Spécifie une liste d’hôtes IP, sous-réseaux ou intervalles d’IP

Protocol

Combine les protocoles IP (comme TCP, UDP, ICMP) dans un objet Par exemple, pour intégrer TCP et UDP pour le protocole DNS, créer un Object Group et ajouter le protocole TCP et UDP dans ce groupe

ICMP

Le protocole ICMP utilise un type unique pour l’envoi de messages de contrôle (RFC 792) Le groupe d’objets ICMP-type peut grouper les types nécessaires pour des besoins de sécurité

Service

Utilisé pour grouper les ports TCP, UDP, TCP/UDP dans un objet Il peut contenir un mélange de services TCP, services UDP, services ICMP, et tout protocole comme par ex. ESP, GRE, …

CCNAS-ASA(config)# object group ? configure mode commands/options: icmp-type Specifies a group of ICMP types, such as echo network Specifies a group of host or subnet IP addresses protocol Specifies a group of protocols, such as TCP, etc service Specifies a group of TCP/UDP ports/services user Specifies single user, local or import user group CCNAS-ASA(config)# Thomas Moegli

106

106

Cisco ASA - 18 octobre 2015

Network Objects Groups (CLI) ๏

Pour configurer un Network Object Group, utiliser la commande ASA(config)# object-group network grp-name

๏

Ajouter les objets réseaux via les commandes suivantes : ๏

network-objectnetwork-object ASA(config)#

๏

group-object group-object ASA(config)#

CCNAS-ASA(config)# object-group network ADMIN-HOST CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.3 CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.4 CCNAS-ASA(config-network-object-group)# exit
 CCNAS-ASA(config)# object-group network ALL-HOSTS CCNAS-ASA(config-network-object-group)# network-object 192.168.1.32 255.255.255.240 CCNAS-ASA(config-network-object-group)# group-object ADMIN-HOST CCNAS-ASA(config-network-object-group)# exit
 CCNAS-ASA(config)# show run object-group
 object-group network ADMIN-HOST description Administrative host IP addresses network-object host 192.168.1.3 network-object host 192.168.1.4 object-group network ALL-HOSTS network-object 192.168.1.32 255.255.255.240 group-object ADMIN-HOST CCNAS-ASA(config)# Thomas Moegli

107

107

Cisco ASA - 18 octobre 2015

Network Objects Groups (ASDM)

๏

Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups

Thomas Moegli

108

108

Cisco ASA - 18 octobre 2015

Protocol Object Group Pour configurer un Protocol Object Group, utiliser la commande de configuration globale :


๏

ASA(config)# object-group protocol grp-name

Ajouter les objets réseaux au Protocol Group en utilisant les commandes :

๏ ๏

protocol-objectprotocol-object ASA(config)#

๏

group-object group-object ASA(config)#

CCNAS-ASA(config)# object-group protocol PROTO-1 CCNAS-ASA(config-protocol-object-group)# protocol-object udp CCNAS-ASA(config-protocol-object-group)# network-object ipsec CCNAS-ASA(config-protocol-object-group)# exit
 CCNAS-ASA(config)# object-group protocol PROTO-2 CCNAS-ASA(config-protocol-object-group)# protocol-object tcp CCNAS-ASA(config-protocol-object-group)# group-object PROTO-1 CCNAS-ASA(config-protocol-object-group)# exit
 CCNAS-ASA(config)# show running-config object-group protocol
 object-group protocol PROTO-1 protocol-object udp protocol-object esp object-group protocol PROTO-2 protocol-object tcp group-object PROTO-1 CCNAS-ASA(config)# Thomas Moegli

109

109

Cisco ASA - 18 octobre 2015

ICMP Object Group Pour configurer un ICMP Object Group, utiliser la commande de configuration globale :


๏

ASA(config)# object-group icmp-type grp-name

Ajouter les objets réseaux au Protocol Group en utilisant les commandes :

๏ ๏

protocol-objecticmp-object ASA(config)#

๏

group-object group-object ASA(config)#

CCNAS-ASA(config)# object-group icmp-type ICMP-ALLOWED CCNAS-ASA(config-icmp-object-group)# icmp-object echo CCNAS-ASA(config-icmp-object-group)# icmp-object time-exceeded CCNAS-ASA(config-icmp-object-group)# exit
 CCNAS-ASA(config)# 
 CCNAS-ASA(config)# show running-config object-group id ICMP-ALLOWED
 object-group icmp-type ICMP-ALLOWED icmp-object echo icmp-object time-exceeded CCNAS-ASA(config)# Thomas Moegli

110

110

Cisco ASA - 18 octobre 2015

Service Object Group (CLI) Pour configurer un Service Object Group, utiliser la commande de configuration globale :


๏

ASA(config)# object-group service grp-name

Ajouter les objets réseaux au Protocol Group en utilisant les commandes :

๏ ๏

protocol-objectservice-object ASA(config)#

๏

group-object group-object ASA(config)#

CCNAS-ASA(config)# object-group service SERVICES-1 CCNAS-ASA(config-service-object-group)# CCNAS-ASA(config-service-object-group)# CCNAS-ASA(config-service-object-group)# CCNAS-ASA(config-service-object-group)# CCNAS-ASA(config)#
 CCNAS-ASA(config)# object-group service CCNAS-ASA(config-service-object-group)# CCNAS-ASA(config-service-object-group)#

service-object tcp destination eq www service-object tcp destination eq https service-object udp destination eq nap exit
 SERVICES-2 tcp port-object eq pop3 port-object eq smtp

CCNAS-ASA(config-service-object-group)# exit
 CCNAS-ASA(config)#
 CCNAS-ASA(config)# object-group service SERVICES-3 tcp CCNAS-ASA(config-service-object-group)# group-object SERVICES-2 CCNAS-ASA(config-service-object-group)# port-object eq ftp CCNAS-ASA(config-service-object-group)# port-object range 2000 2005 CCNAS-ASA(config-service-object-group)# exit
 CCNAS-ASA(config)# Thomas Moegli

111

111

Cisco ASA - 18 octobre 2015

Service Object Group (ASDM)

๏

Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups

Thomas Moegli

112

112

Cisco ASA - 18 octobre 2015

Cisco ASA

ASA ACLs

113

Cisco ASA - 18 octobre 2015

ACLs

Similarités entre ACL IOS et ACL ASA

๏

Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE

๏

Les ACL sont traitées de manière séquentielle depuis le haut vers le bas

๏

Dès qu’une entrée ACE correspond, on sort de l’ACL sans consulter les règles suivantes

๏

Ils possèdent une entrée de refus par défaut à la fin de la liste

๏

Ils respectent la règle suivante : une ACL par interface, par protocole, par sens

๏

Ils peuvent être activés/désactivés selon des plages horaires définies

Thomas Moegli

114

114

Cisco ASA - 18 octobre 2015

ACLs

Différences entre ACL IOS et ACL ASA

Les ACL ASA utilisent un masque de sous-réseau (ex. 255.255.255.0)

๏ ๏

Les ACL sont toujours nommées au lieu d’être simplement numérotés

๏ ๏

๏

Les ACL IOS utilisent un masque Wildcard (ex. 0.0.0.255) Les ASA ACLs peuvent être numérotés mais contrairement aux ACL IOS, les numéros n’ont aucune signification

Par défaut, les niveaux de sécurité appliquent les contrôles d’accès sans configuration explicite d’ACL

Thomas Moegli

115

115

Cisco ASA - 18 octobre 2015

ACLs

Fonctions des ACL

Filtrage du trafic transitant par l’ASA

๏ ๏

Le trafic qui transite d’une interface à une autre est filtré par l’ASA suivant les ACL configurées

Filtrage du trafic à destination de l’ASA

๏ ๏

Egalement appelé règles d’accès du trafic de Mgmt (Telnet, SSH, SNMP)

๏

Lorsque ce trafic est à destination de l’ASA, il est également régi par les règles ACL

Thomas Moegli

116

116

Cisco ASA - 18 octobre 2015

ACLs

ASA ACLs : Types

Type d’ACL

Description

Extended

๏ ACL le plus populaire ๏ Filtrage basé sur le port source/destination et le protocole

Standard

๏ Utilisé pour les protocoles de routage, pas comme règles de firewall ๏ 5 Netypes peut s’appliquer supporte d’ACLs : aux interfaces pour contrôler le trafic

๏

L’ASA

IPv6

๏ Utilisé pour supporter l’adressage IPv6

Webtype

๏ Utilisé pour SSL VPN Clientless

Ethertype

๏ Spécifie le protocole de couche réseau ๏ Utilisé uniquement lorsque l’ASA est en mode transparent

Thomas Moegli

117

117

Cisco ASA - 18 octobre 2015

ACLs

ASA ACLs : Applications Utilisation ACL

Type d’ACL

Gérer le trafic inter-réseaux

Extended

Identifier le trafic des règles AAA

Extended

Identifier les adresses pour NAT

Extended

Etablissement d’un accès VPN

Extended

Identifier le trafic Modular Policy Framework (MPF)

Extended

Identifier la redistribution de route OSPF

Standard

Contrôler l’accès réseau pour les réseaux IPv6

IPv6

Description ๏ Par défaut, l’ASA n’autorise pas le trafic provenant d’un niveau de sécurité plus faible

vers une interface ayant un niveau de sécurité plus haut sauf si explicitement autorisé ๏ Utilisé dans les listes d’accès AAA pour identifier le trafic ๏ Les règles NAT permettent d’identifier le trafic local pour effectuer la translation

d’adresses ๏ Utilisé dans les commandes VPN ๏ Utilisé pour identifier le trafic dans une Class Map, qui est utilisé dans les fonctionnalités

qui supportent MPF ๏ Les ACL Standards n’incluent que l’adresse de destination ๏ Utilisé pour contrôler la redistribution des routes OSPF ๏ Utilisé pour contrôler le trafic sur les réseaux IPv6

Thomas Moegli

118

118

Cisco ASA - 18 octobre 2015

ACLs

Extended ACL : Syntaxe CCNAS-ASA(config)# help access-list USAGE: Extended access list: Use this to configure policy for IP traffic through the firewall [no] access-list [line ] [extended] {deny | permit} {<protocol> | object-group {<service_obj_grp_id> | <protocol_obj_grp_id>} | object <service_object_name>} [user-group [<domain_nickname>\\]<user_group_name> | user [<domain_nickname>\]<user_name> | object-group-user < object_group_user_name>] {host <sip> | <sip> <smask> | interface | any | object-group | object } [ <port> [<port>] | object-group <service_obj_grp_id>] {host | | interface | any | object-group | object } [ <port> [<port>] | object-group <service_obj_grp_id>] [log [disable] | [] | [default] [interval <secs>]] … Thomas Moegli

119

119

Cisco ASA - 18 octobre 2015

ACLs

Extended ACL : Syntaxe Nom ACL Cela peut également être un nombre.

Protocole de couche 3 Exemple : IP, TCP, UDP Peut également être un Protocol Object Group

Trafic source à filtrer. Cela peut également être un Network Object Group L’option interface est utilisé pour du trafic provenant de l’ASA

access-list id extended {deny | permit} protocol {source_addr source_mask | any | host src_host | interface src_if_name} [operator port [port]] {dest_addr dest_mask | any | host dst_host | interface dst_if_name} [operator port [port]] L’opérateur peut être : ๏ lt (less than) ๏ gt (greater than) ๏ eq (equal) ๏ neq (not equal) ๏ range (intervalle) Le port peut être le numéro de port, nom du port TCP/UDP ou un Service Thomas Moegli Object Group

Trafic de destination à filtrer. Cela peut également être un Network Object Group L’option interface est utilisé pour du trafic à destination de l’ASA

120

120

Cisco ASA - 18 octobre 2015

ACLs

Access-Group ๏

Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group ASA(config)# access-group

๏

Syntaxe :


access-group acl-id {in | out} interface interface-name [per-user-override | control-plane] Syntaxe

Description

access-group

๏ Mot-clé utilisé pour appliquer une ACL à une interface

acl-id

๏ Nom de l’ACL

in

๏ L’ACL filtre les paquets entrants

out

๏ L’ACL filtre les paquets sortants

interface

๏ Mot-clé utilisé pour spécifier l’interface à appliquer l’ACL

interface_name

๏ Nom de l’interface sur lequel appliquer l’ACL

per-user-override

๏ Option permettant de remplacer toutes les ACL de l’interface par l’ACL

control-plane

๏ Spécifie si la règle est utilisé pour du trafic vers ou provenant de l’ASA

Thomas Moegli

121

121

Cisco ASA - 18 octobre 2015

ACLs

Exemples d’ACL access-list ACL-IN-1 extended permit ip any any access-group ACL-IN-1 in interface inside

๏

L’ACL autorise tous les hôtes du réseau interne à traverser l’ASA

๏

Par défaut, tout autre trafic est refusé

access-list ACL-IN-2 extended deny tcp 192.168.1.0 255.255.255.0 host 209.165.201.228 access-list ACL-IN-2 extended permit ip any any access-group ACL-IN-2 in interface inside

๏

L’ACL interdit tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228

๏

Par défaut, tout autre trafic est autorisé

access-list ACL-IN-3 extended permit tcp 192.168.1.0 255.255.255.0 host 209.165.201.228 access-group ACL-IN-3 in interface inside

๏

L’ACL autorise tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228

๏

Par défaut, tout autre trafic est refusé

access-list ACL-IN-4 extended deny tcp any host 209.165.201.229 eq www access-list ACL-IN-4 extended permit ip any any access-group ACL-IN-4 in interface inside

๏

L’ACL refuse tout accès au serveur sur l’adresse 209.165.201.229 sur le port 80 (www)

๏

Par défaut, tout autre trafic est autorisé

Thomas Moegli

122

122

Cisco ASA - 18 octobre 2015

ACLs

Communication entre interfaces de même niveau de confiance

Par défaut, les interfaces avec le même niveau de confiance :

๏ ๏

Ne peuvent communiquer entre eux

๏

Les paquets ne peuvent entrer et sortir sur la même interface ๏

๏

Pose problème avec le trafic VPN qui entre dans une interface mais est routé puis ressort de la même interface

Utiliser la commande suivante permet d’activer la communication entre interfaces de même niveau de sécurité :
 same-security-traffic permit inter-interface

๏

Utiliser la commande suivante permet d’activer la communication entre hôtes connectées à la même interface :
 same-security-traffic permit intra-interface

Thomas Moegli

123

123

Cisco ASA - 18 octobre 2015

ACLs

Vérification des ACLs

Pour vérifier la syntaxe des ACL, utiliser les commandes suivantes :

๏ ๏

show running-config access-list show access-list

Thomas Moegli

124

124

Cisco ASA - 18 octobre 2015

ACLs

ACL - Exemple 1 PC-A et PC-B sont des hôtes externes qui doivent pouvoir accéder aux deux serveurs internes

๏ ๏

Chaque serveur propose des services Web et Email PC-A

Serveur Web Serveur Mail

209.165.201.1 .131

E0/1

209.165.202.128/27

Inside (VLAN 1)

Serveur Web Serveur Mail

E0/0

E0/2

209.165.200.224/27

Internet

Outside (VLAN 2) .132 209.165.201.2 PC-B

Thomas Moegli

125

125

Cisco ASA - 18 octobre 2015

ACLs

ACL : Exemple 1 ASA(config)# access-list ACL-IN remark Permit PC-A -> Server A for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp ASA(config)# access-list ACL-IN remark Permit PC-A -> Server B for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq smtp ASA(config)# access-list ACL-IN remark Permit PC-B -> Server A for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp ASA(config)# access-list ACL-IN remark Permit PC-B -> Server B for HTTP/SMTP ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq http ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq smtp ASA(config)# access-list ACL-IN remark Deny All Trafic ASA(config)# access-list ACL-IN extended deny ip any any log

PC-A 209.165.201.1

PC-B 209.165.201.2

Serveur Web Serveur Mail 209.165.202.131

Serveur Web Serveur Mail 209.165.202.132

ASA(config)# access-group ACL-IN in interface outside

Thomas Moegli

126

126

Cisco ASA - 18 octobre 2015

ACLs

ACL : Exemple 1 (Vérification) ASA# show running-config access-list access-list ACL-IN remark Permit PC-A -> Server A for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 access-list ACL-IN remark Permit PC-A -> Server B for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 access-list ACL-IN remark Permit PC-B -> Server A for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 access-list ACL-IN remark Permit PC-B -> Server B for HTTP / SMTP
 access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 access-list ACL-IN extended deny ip any any log
 ASA#
 ASA# show access-list ACL-IN brief access-list ACL-IN; 9 elements; name hash: 0x44d1c580
 ASA#

eq www eq smtp eq www eq smtp eq www eq smtp eq www eq smtp

Thomas Moegli

127

127

Cisco ASA - 18 octobre 2015

ACLs

ACL avec Objects Groups : Exemple 2 Cet exemple présente l’utilisation des Objects Groups.

๏ ๏

La topologie et la configuration des règles est identique à l’exemple 1

๏

On utilise les objets configurés pour établir les règles

On configure les objets suivantes :

๏ ๏

TCP : Protocol Object Group

๏

Internet-Hosts : Network Object Group qui permet d’identifier les deux hôtes externes

๏

Internai-Servers : Network Object Group qui permet d’identifier les deux serveurs internes

๏

HTTP-SMTP : Service Object Group qui permet d’identifier les protocoles HTTP et SMTP

๏

Ces Objects Groups sont spécifiés dans une entrée ACE

๏

Tout le trafic restant est refusé et enregistré

Thomas Moegli

128

128

Cisco ASA - 18 octobre 2015

ACLs

ACL avec Objects Groups : Exemple 2 Création des Objects Groups ASA(config)# object-group protocol TCP ASA(config-protocol)# description OG identifiant TCP comme protocole ASA(config-protocol)# protocol-object tcp ASA(config-protocol)# exit ASA(config)#

PC-A 209.165.201.1

ASA(config)# object-group network Internet-Hosts ASA(config-network)# description OG identifie les hotes PC-A et PC-B ASA(config-network)# network-object host 209.165.201.1

PC-B 209.165.201.2

ASA(config-network)# network-object host 209.165.201.2 ASA(config-network)# exit ASA(config)#

Serveur Web Serveur Mail

ASA(config)# object-group network Internal-Servers ASA(config-network)# description OG identifie les serveurs internes

209.165.202.131

ASA(config-network)# network-object host 209.165.202.131 ASA(config-network)# network-object host 209.165.202.132

Serveur Web Serveur Mail

ASA(config-network)# exit ASA(config)#

209.165.202.132

ASA(config)# object-group service HTTP-SMTP tcp ASA(config-service)# description OG identifie le trafic HTTP/HTTPS et SMTP ASA(config-service)# port-object eq smtp ASA(config-service)# port-object eq www ASA(config-service)# exit ASA(config)#

Thomas Moegli

129

129

Cisco ASA - 18 octobre 2015

ACLs

ACL avec Objects Groups : Exemple 2 Création de l’ACL en se basant sur les Objects Groups et application sur l’interface ASA(config)# access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs ASA(config)# access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object-group Internal-Servers object-group HTTP-SMTP ASA(config)# access-list ACL-IN extended deny ip any any log ASA(config)# ASA(config)# access-group ACL-IN in interface outside ASA(config)#

PC-A 209.165.201.1

PC-B 209.165.201.2

Serveur Web Serveur Mail

Vérification ACL ASA# show running-config access-list access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
 access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object- group Internal-Servers object-group HTTP-SMTP

209.165.202.131

Serveur Web Serveur Mail 209.165.202.132

ASA# show access-list ACL-IN brief access-list ACL-IN; 9 elements; name hash: 0x44d1c580

Thomas Moegli

130

130

Cisco ASA - 18 octobre 2015

ACLs

ACL avec ASDM

๏

Configuration ➔ Firewall ➔ Access Rules

Thomas Moegli

131

131

Cisco ASA - 18 octobre 2015

Cisco ASA

ASA NAT

132

Cisco ASA - 18 octobre 2015

ASA : Services NAT ๏

Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants :

๏

Inside NAT ๏

Lorsque l’ASA translate les adresses des côtes internes vers des adresses globales

๏

Le trafic de retour est également géré

Outside NAT

๏ ๏

Méthode utilisé lorsque du trafic d’une interface à basse sécurité vers une interface à sécurité plus élevée

๏

Cette méthode peut être utile pour rendre visible un hôte d’un réseau interne sur une adresse IP connue externe

Bidirectional NAT

๏ ๏

Effectue les translations NAT Inside et Outside

Thomas Moegli

133

133

Cisco ASA - 18 octobre 2015

ASA : Services NAT

NAT : Modes Routed et Transparent

๏

NAT est supporté dans les modes Routed et Transparent

๏

Il existe plusieurs restrictions pour le mode Transparent ๏ Il est nécessaire de spécifier les interfaces réelles et mappées ๏ Il est impossible de spécifier « any » comme interface ๏ PAT n’est pas supporté car en mode transparent, les interfaces n’ont pas d’adresses IP et il n’est pas possible d’utiliser l’adresse

IP de management comme adresse mappée. ๏ La translation entre IPv4 et IPv6 n’est pas supportée ๏ La translation entre deux réseaux IPv6 ou entre deux réseaux IPv4 est supportée

Thomas Moegli

134

134

Cisco ASA - 18 octobre 2015

ASA : Services NAT

NAT IPv6

๏

En mode Routed, il est possible d’effectuer de la translation entre IPv4 et IPv6

๏

Un pool PAT n’est pas supporté pour IPv6 en mode Transparent

๏

Pour du NAT statique, il est possible de définir un sous-réseau IPv6 jusqu’à /64. Les sous-réseaux plus grands ne sont pas supportés

Thomas Moegli

135

135

Cisco ASA - 18 octobre 2015

ASA : Services NAT DMZ (VLAN 3) 192.168.2.0/24 Ins

Ou

.3

tsi

ide

de N

NA T

AT

E0/2

Inside (VLAN 1)

.5

E0/1

E0/0

209.165.200.224/27 Outside (VLAN 2)

192.168.1.0/27

Internet

PC-B 209.165.201.2

Inside NAT Outside NAT

Thomas Moegli

136

136

Cisco ASA - 18 octobre 2015

Auto NAT

Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi :

๏ ๏

Création d’un Network Object

๏

Identification des réseaux à translater

๏

Définir les paramètres de la commande nat

NOTE ๏ ๏

Avant le version 8.3, NAT était configuré via les commandes nat, global et static Les commandes global et static ne sont plus reconnues

Thomas Moegli

137

137

Cisco ASA - 18 octobre 2015

Configuration NAT L’ASA sépare la configuration NAT en deux sections :

๏ ๏

La première section définit le réseau à translater via un Network Object

๏

La seconde section définit les paramètres de la commande nat

๏

ASA# show running-config Ces deux sections apparaissent à des emplacements différents sur la commande show running-config

ASA(config)# object network INSIDE-NET remark Permet uniquement PC-A/PC-B -> Serveurs ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224 ASA(config-network-object)# nat (inside,outside) dynamic interface ASA(config-network-object)# end ASA# ASA# show running-config nat ! object network INSIDE-NET nat (inside,outside) dynamic interface ASA# ASA# show running-config object object network INSIDE-NET nat (inside,outside) dynamic interface ASA#

Thomas Moegli

138

138

Cisco ASA - 18 octobre 2015

Configuration : Types de NAT Dynamic NAT

๏ ๏

Translation Many-to-Many

๏

Typiquement déployé dans Inside NAT

Dynamic PAT

๏ ๏

Translation Many-to-One

๏

Généralement un pool d’adresses privées utilisés pour translater une interface externe ou une adresse externe

๏

Typiquement déployé dans Inside NAT

Static NAT

๏ ๏

Translation One-to-One

๏

Généralement une adresse externe qui est mappée à un serveur interne

๏

Typiquement déployé avec Outside NAT

Twice-NAT

๏ ๏

La fonction NAT de la version 8.3 permet d’identifier l’adresse source et destination en une seule règle (Commande nat)

๏

Utilisé pour la configuration IPSec et SSL Remote-Access VPN

Thomas Moegli

139

139

Cisco ASA - 18 octobre 2015

Configuration : Dynamic NAT Pour configurer Dynamic NAT, deux Network Objects sont requis : Le premier Network Object identifie le pool d’adresses IP publiques qui seront transformés en adresses privées

๏ ๏

ASA(config)# object mapped-obj network mapped-obj object network

๏

๏

Nom du Network Object qui identifie le pool d’adresses publiques

ASA(config)# range ip-addr-1 ip-addr-n range ip-addr-1 ip-addr-n

๏

Définit le pool d’adresses IP publiques

Le second Network Object combine le pool d’adresses IP publiques avec le sous-réseau privé et l’interface

๏ ๏

ASA(config)# object nat-object-name network nat-object-name object network

๏

๏

ASA(config)# subnet net-address net-mask subnet net-address net-mask

๏

๏

Nom de l’objet NAT combiné Identifie le sous-réseau privé

ASA(config)# natmapped-ifc) (real-ifc, mapped-ifc) dynamic mapped-obj nat (real-ifc, dynamic mapped-obj

๏

Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura une adresse assignée dynamiquement avec le pool d’adresses IP publiques.

Thomas Moegli

140

140

Cisco ASA - 18 octobre 2015

Configuration : Dynamic NAT DMZ (VLAN 3) 192.168.2.0/24

.3 E0/2

Inside (VLAN 1)

.5

E0/1

192.168.1.0/27

ASA(config)# object network ASA(config-network-object)# ASA(config-network-object)# ASA(config)# ASA(config)# object network ASA(config-network-object)# ASA(config-network-object)# ASA(config-network-object)# ASA#

E0/0

209.165.200.224/27 Outside (VLAN 2)

Internet

PC-B 209.165.201.2

PUBLIC-IP range 209.165.200.240 255.255.255.240 exit INSIDE-NET subnet 192.168.1.0 255.255.255.224 nat (inside,outside) dynamic PUBLIC-IP end

Thomas Moegli

141

141

Cisco ASA - 18 octobre 2015

Configuration : Dynamic PAT Pour configurer Dynamic PAT, un Network Object est requis : Dynamic PAT est utilisé lorsqu’on utilise la même adresse IP publique de sortie. Pour différencier les trafics, on utilise les

๏

ports ๏

ASA(config)# object net-object-name network nat-object-name object network

๏

๏

ASA(config)# subnet net-address net-mask subnet net-address net-mask

๏

๏

Nom du Network Object Identifie le réseau privé

nat ASA(config)# (real-ifc, natmapped-ifc) (real-ifc, mapped-ifc) dynamic dynamic [interface [interface| ip-address] | ip-address] ๏

Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura l’adresse IP de l’interface ou l’adresse IP configurée assignée après le mot-clé dynamic.

Thomas Moegli

142

142

Cisco ASA - 18 octobre 2015

Configuration : Dynamic PAT DMZ (VLAN 3) 192.168.2.0/24

.3 E0/2

Inside (VLAN 1)

.5

E0/1

192.168.1.0/27

ASA(config)# object network ASA(config-network-object)# ASA(config-network-object)# ASA(config-network-object)# ASA#

E0/0

209.165.200.224/27 Outside (VLAN 2)

Internet

PC-B 209.165.201.2

INSIDE-NET subnet 192.168.1.0 255.255.255.224 nat (inside,outside) dynamic interface end

Thomas Moegli

143

143

Cisco ASA - 18 octobre 2015

Configuration : Dynamic PAT DMZ (VLAN 3) 192.168.2.0/24

.3 E0/2

Inside (VLAN 1)

.5

E0/1

E0/0

192.168.1.0/27

ASA(config)# object network ASA(config-network-object)# ASA(config-network-object)# ASA(config-network-object)# ASA#

209.165.200.224/27 Outside (VLAN 2)

Internet

PC-B 209.165.201.2

INSIDE-NET subnet 192.168.1.0 255.255.255.224 nat (inside,outside) dynamic 209.165.200.229 end

Thomas Moegli

144

144

Cisco ASA - 18 octobre 2015

Configuration : Static PAT

Pour configurer Static NAT, un Network Object est requis : Static NAT permet de faire correspondre une adresse IP publique à une adresse IP privée

๏ ๏

ASA(config)# object net-object-name network nat-object-name object network

๏

๏

ASA(config)# host ip-addrnet-mask subnet net-address

๏

๏

Nom du Network Object Identifie le réseau privé

ASA(config)# natmapped-ifc) (real-ifc, mapped-ifc) static mapped-ip-addr nat (real-ifc, static [interface | ip-address]

๏

Règle NAT faisant correspondre une adresse interne à une adresse externe. NOTE ๏

Static NAT requiert qu’une ACE doit être ajouté sur l’ACL de l’interface outside

Thomas Moegli

145

145

Cisco ASA - 18 octobre 2015

Configuration : Static NAT DMZ (VLAN 3) 192.168.2.0/24

.3 E0/2

Inside (VLAN 1)

.5

E0/1

E0/0

192.168.1.0/27

209.165.200.224/27 Outside (VLAN 2)

Internet

PC-B 209.165.201.2

ASA(config)# object network DMZ-SERVER ASA(config-network-object)# host 192.168.2.3 ASA(config-network-object)# nat (dmz,outside) static 209.200.165.227 ASA(config-network-object)# exit ASA(config)# ASA(config)# access-list OUTSIDE-DMZ permit ip any host 192.168.2.3 ASA(config)# access-group OUTSIDE-DMZ in interface outside ASA(config)#

Thomas Moegli

146

146

Cisco ASA - 18 octobre 2015

Vérification : Static NAT DMZ (VLAN 3) 192.168.2.0/24

.3 E0/2

Inside (VLAN 1)

.5

E0/1

192.168.1.0/27

E0/0

209.165.200.224/27 Outside (VLAN 2)

Internet

PC-B 209.165.201.2

ASA# show nat Auto NAT Policies (Section 2) 1 (dmz) to (outside) source static DMZ-SERVER 209.165.200.227 translate_hits = 0, intranslate_hits = 4 2 (inside) to (outside) source dynamic inside-nat interface translate_hits = 4, untraslate_hits = 0 ASA# show xlate 1 in use, 3 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice NAT from dmz:192.168.2.3 to outside:209.165.200.227 flags s idle 0:22:58 timeout 0:00:00 ASA# Moegli Thomas

147

147

Cisco ASA - 18 octobre 2015

Configuration NAT sur ASDM

Ajout d’un Network Object

Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups

๏ ๏

La création d’un Network Object se fait via le bouton Add

Thomas Moegli

148

148

Cisco ASA - 18 octobre 2015

Configuration NAT sur ASDM

Dynamic PAT

Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups

๏ ๏

S’effectue lors de la création du Network Object

๏

Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton

๏

Dans l’option Type:, sélectionner Dynamic PAT (Hide)

Thomas Moegli

149

149

Cisco ASA - 18 octobre 2015

Configuration NAT sur ASDM

Static NAT

Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups

๏ ๏

S’effectue lors de la création du Network Object

๏

Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton

๏

Dans l’option Type:, sélectionner Static

Thomas Moegli

150

150

Cisco ASA - 18 octobre 2015

Configuration NAT sur ASDM

Vérification des règles NAT

๏

Configuration ➔ Firewall ➔ NAT Rules

Thomas Moegli

151

151

Cisco ASA - 18 octobre 2015

Cisco ASA

AAA

152

Cisco ASA - 18 octobre 2015

AAA

Authentication

Authorization

Thomas Moegli

Accounting

153

153

Cisco ASA - 18 octobre 2015

AAA sur ASA

Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans utilisation du

๏

protocole AAA Les périphériques ASA peuvent être configurés pour effectuer l’authentification via :

๏ ๏

Une base de donnée locale

๏

Un serveur externe

๏

Les deux

Thomas Moegli

154

154

Cisco ASA - 18 octobre 2015

AAA sur ASA

Configuration : Authentification AAA Authentification AAA locale Local AAA utilise une base de données locale pour l’authentification

๏

๏

๏

La base de données locale est configurée sur le périphérique ASA

๏

Idéal pour une petite entreprise qui ne dispose pas d’un serveur dédié

Configuration - Création d’un utilisateur local :
 ASA(config)# username name password password [privilege priv-level]

๏

Configuration - Activation de l’authentification AAA en utilisant une base locale :
 ASA(config)# aaa authentication {enable | http | ssh | telnet} console {aaa-svr-name | LOCAL}

ASA(config)# ASA(config)# ASA(config)# ASA(config)# ASA(config)# ASA(config)# ASA(config)#

username admin password cisco privilege 15 aaa aaa aaa aaa

authentication authentication authentication authentication

enable console LOCAL http console LOCAL ssh console LOCAL telnet console LOCAL

Thomas Moegli

155

155

Cisco ASA - 18 octobre 2015

AAA sur ASA

Configuration : Authentification AAA ๏

Authentification AAA avec serveur dédié

๏

L’authentification AAA basé sur un serveur dédié est une solution plus extensible ๏

Utilisation d’une base de données externe

๏

Pour communiquer entre le périphérique ASA et la base externe, on utilise les protocoles RADIUS et TACACS+

Configuration du périphérique ASA pour communiquer avec un serveur externe :

๏ ๏

Création d’un groupe de serveurs RADIUS ou TACACS+ :
 ASA(config)# aaa-server server-tag protocol protocol

๏

Configuration d’un lien vers un serveur AAA et ajout dans ce groupe :
 ASA(config)# aaa-server server-tag [(interface-name)] host {server-ip | name} [key password]

๏

Configuration - Activation de l’authentification AAA en utilisant un groupe de serveurs AAA :
 ASA(config)# aaa authentication {enable | http | ssh | telnet} console server-tag

Thomas Moegli

156

156

Cisco ASA - 18 octobre 2015

AAA sur ASA

Configuration : Authentification AAA Configuration de l’authentification AAA via un serveur TACACS+ ainsi qu’une authentification locale

๏ ๏

L’authentification locale est utilisé uniquement si le serveur TACACS+ est indisponible

ASA(config)# username admin password cisco privilege 15 ASA(config)# ASA(config)# aaa-server TACACS-SVR protocol tacacs+ ASA(config-aaa-server-group)# aaa-server TACACS-SVR (dmz) host 192.168.1.2 key cisco123 ASA(config-aaa-server-group)# exit ASA(config)# ASA(config)# show run aaa-server aaa-server TACACS-SVR protocol tacacs+ aaa-server TACACS-SVR (dmz) host 192.168.1.2 key ***** ASA(config)# ASA(config)# aaa authentication http console TACACS-SVR LOCAL ASA(config)# aaa authentication ssh console TACACS-SVR LOCAL ASA(config)# aaa authentication telnet console TACACS-SVR LOCAL ASA(config)# aaa authentication enable console TACACS-SVR LOCAL ASA(config)# Thomas Moegli

157

157

Cisco ASA - 18 octobre 2015

AAA sur ASA

Vérification : Authentification AAA ๏

Se déconnecter puis se reconnecter

๏

Commandes de vérification :

๏

๏

ASA# running-conf username showshow running-conf username

: Commande pour voir tous les comptes utilisateur

๏

ASA# showshow running-conf running-conf aaa aaa

: Commande pour voir la configuration AAA

Pour effacer toute la configuration AAA, utiliser la commande clear ASA# clear configconfig aaa aaa

ASA# show run aaa aaa authentication aaa authentication aaa authentication aaa authentication ASA# disable ASA> exit

http console TACACS-SVR LOCAL ssh console TACACS-SVR LOCAL telnet console TACACS-SVR LOCAL enable console TACACS-SVR LOCAL

Username: admin Password: ***** Type help or '?' for a list of available commands. ASA> Thomas Moegli

158

158

Cisco ASA - 18 octobre 2015

Configuration AAA via ASDM

Ajout d’utilisateurs dans la base de données locale

Configuration ➔ Device Management ➔ Users/AAA ➔ Users Accounts

๏ ๏

L’ajout d’utilisateurs se fait via le bouton Add

Thomas Moegli

159

159

Cisco ASA - 18 octobre 2015

Configuration AAA via ASDM

Création d’un AAA Server Group

Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups

๏ ๏

La création d’un groupe se fait dans la section AAA Server Group, via le bouton Add

Thomas Moegli

160

160

Cisco ASA - 18 octobre 2015

Configuration AAA via ASDM

Ajout d’un serveur au Server Group

Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups

๏ ๏

La création d’un groupe se fait dans la section Servers in the Selected Group via le bouton Add

๏

Les paramètres de configuration RADIUS ou TACACS+ s’affichent selon le protocole indiqué à la création du Server Group

Thomas Moegli

161

161

Cisco ASA - 18 octobre 2015

Configuration AAA via ASDM

Activation de l’authentification AAA

๏

Configuration ➔ Firewall ➔ Users/AAA ➔ AAA Access ➔ Authentication

Thomas Moegli

162

162

Cisco ASA - 18 octobre 2015

Cisco ASA

Modular Policy Framework (MPF)

163

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF) MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic et QoS au

๏

trafic qui traverse l’ASA ๏

Permet la classification des flux de trafic et l’application de différentes policies aux flux

Cisco MPF utilise trois objets de configuration pour définir les règles :

๏

Class Maps ๏

Définit les critères pour identifier le trafic avec la commande class-map

Policy Maps ๏

๏

Service Policy

Class Maps ๏

๏

Policy Maps

Associe des actions au trafic identifié par la Class Map avec la commande policy-map

Service Policies ๏

Rattache les Class et Policy Maps à une interface ou globalement sur toutes les interfaces avec la commande service-policy

Thomas Moegli

164

164

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF) Class Maps

Policy Maps

Service Policy

• Qu’est ce qu’on analyse ? • Identifie le trafic sur lequel appliquer MPF • Création d’une Class Maps de couche 3/4 avec un ou plusierus critères

• Quelles sont les actions à appliquer ? • Création d’une règle pour le trafic de la couche 3 à la couche 7 • Création d’une Policy map contenant plusieurs Class Maps avec leurs actions associées

• Ou ces règles doivent être appliquées ? • Activation de la Policy Map sur les interfaces • Création d’une Service Policy qui s’applique à une Policy Maps et une interface ou sur toutes les interfaces

class-map class-name

policy-map policy-name

service-policy serv-name interface intf-name

Thomas Moegli

165

165

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

4 étapes pour configurer MPF sur un ASA ๏

Configuration d’une ACL Extended pour identifier le trafic

๏

Configurer la Class Map pour identifier le trafic à l’aide de l’ACL configurée précédemment

๏

Configurer la Policy Map pour appliquer les actions à ces Class Maps

๏

Configurer la Service Policy pour rattacher la Policy Map à une interface

ASA(config)# access-list TFTP-TRAFFIC permit udp any any eq 69 ASA(config)# ASA(config)# class-map CLASS-TFTP ASA(config-cmap)# match access-list TFTP-TRAFFIC ASA(config-cmap)# exit ASA(config)# ASA(config)# policy-map POLICY-TFTP ASA(config-pmap)# class CLASS-TFTP ASA(config-pmap-c)# inspect tftp ASA(config-pmap-c)# exit ASA(config-pmap)# exit ASA(config)# ASA(config)# service-policy POLICY-TFTP global ASA(config)# Thomas Moegli

166

166

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Class Maps ๏

Une Class Map permet d’identifier le trafic de couche 3 et couche 4

๏

Pour créer une Class Map, utiliser la commande class-map class-map-name. ๏

On passe en mode de configuration Class-Map

๏

Le nom class-default et tout nom qui commence par _internal ou _default sont réservés et ne peuvent être utilisés

๏

Le nom de la Class Map doit être unique et ne peut dépasser 40 caractères

NOTE ๏

Pour le trafic de management à destination de l’ASA, on utilise la commande 
 class-map type management class-map-name

Thomas Moegli

167

167

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Class Maps : Mode de configuration

En mode de configuration Class Maps, les options de configuration sont :

๏

๏

๏

description description

: Ajout d’une description à la Class Map

๏

match any match any

: Class Map qui identifie tout le trafic

๏

match access-list access-list-name match access-list access-list-name

: Class Map qui identifie le trafic spécifié par une ACL Extended

Pour afficher la configuration d’une Class Map, utiliser la commande

Thomas Moegli

show running-config class-map

168

168

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Policy Maps ๏

Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action

๏

Etapes ๏

๏

๏

Utilisation de la commande de configuration globale ๏

Le nom de la Policy map doit être unique et ne comporter pas plus de 40 caractères

๏

On passe en mode de configuration Policy Map (config-pmap)

En mode config-pmap, configurer les options : ๏

description description

: Ajout d’une description à la Policy Map

๏

class class

: Identifie une Class Map sur laquelle appliquer les actions. (Entre en sous-mode de config)

Assigner les actions pour la classe : ๏

setconnection connection set

: Définit les valeurs de connexion

๏

inspect inspect

: Vérifie le trafic au niveau protocole

๏

police police

: Définit une limitation de bande passante sur ce trafic

Thomas Moegli

169

169

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Policy Maps : Vérification

๏

Pour afficher les informations sur une configuration Policy Map, utiliser la commande :
 show running-config policy-map show running-config policy-map

๏

Pour supprimer toutes les Policy Maps, utiliser la commande suivante :
 clear configure policy-map

Thomas Moegli

170

170

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Service Policy

๏

Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Service Policy qui se configure avec la commande service-policy ASA(config)# service-policy

๏

Syntaxe :
 ASA(config)# service-policy policy-map-name [global | interface intf]

Thomas Moegli

171

171

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Service Policy : Vérification

๏

Pour afficher la configuration des Service Policies, utiliser la commande show ASA# show service-policy service-policy ou 
 ASA# show running-configservice-policy service-policy show running-config

๏

ASA# clear configure service-policy Pour supprimer tous les Service Policies configurés, utiliser la commande clear configure service-policy

Thomas Moegli

172

172

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Default Class Map

MPF propose trois paramètres par défaut :

๏ ๏

Default Class map

๏

Default Policy map

๏

Default Service policy

La configuration inclut également une Class Map par défaut pour le trafic de couche 3/4 que l’ASA utilise par défaut .

๏

Cette class-map est appelée inspection_default ๏

class-map class-mapinspection_default inspection_default

๏

match matchdefault-inspection-traffic default-inspection-traffic

Thomas Moegli

173

173

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Default Policy Map

๏

La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy Map est appelée global_policy et effectue de l’inspection sur plusieurs protocoles usuels (DNS, FTP, …)

๏

Il ne peut y avoir qu’une seule Policy globale

Thomas Moegli

174

174

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Default Service Policy

๏

Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précédemment

๏

Ce Service Policy s’applique sur toutes les interfaces

๏

Pour modifier la Policy globale, l’administrateur doit aller éditer cette Default Policy, ou la désactiver et appliquer une nouvelle Policy

Thomas Moegli

175

175

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

ASA Default Policy … class-map inspection_default match default-inspection-traffic

Class-map identifiant le trafic 
 default-inspection-traffic

policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcl

Policy map qui associe les actions au trafic identifié par la Class-Map

Service Policy qui applique la Policy Map à toutes les interfaces

service-policy global_policy global … Thomas Moegli

176

176

Cisco ASA - 18 octobre 2015

Modular Policy Framework (MPF)

Configuration Service Policies (ASDM)

Configuration ➔ Firewall ➔ Service Policy Rules

๏ ๏

Création d’une Policy avec le bouton Add

Thomas Moegli

177

177

Cisco ASA - 18 octobre 2015

Merci de votre attention !

[email protected] Références CCNA Security 640-554 : Official Cert Guide, Cisco Press (K. Barker, S. Morris, K. Wallace, M. Watkins) Cisco Firewalls, Cisco Press (A. Moreaes) Cisco ASA 5500-X Series Next-Generation Firewalls, LiveLessons (O. Santos) Implementing the Cisco Adaptive Security Appliance (ASA), Cisco Thomas Moegli

178

178

Cisco ASA - 18 octobre 2015