3. Thomas Moegli
๏ Cisco ASA est le firewall Stateful le plus
déployée en entreprise
๏ Analyse du flux complet de trafic avec la
fonction Cisco Application Visibility and Control
(AVC)
๏ FirePOWER Next-Generation IPS (NGIPS)
๏ Filtrage URL par réputation et par catégorie
๏ Fonctionnalités de VPN
Introduction à Cisco ASA
3
Cisco ASA
3 Cisco ASA - 18 octobre 2015
4. Thomas Moegli
Fonctions ASA
4
Fonction Description
Stateful Firewall
๏ L’ASA propose un service de firewall avec gestion des états TCP ou UDP pour les connexions qui transitent par
lui
๏ Seuls les paquets qui correspondent à une connexion active sont autorisées par le firewall, les autres sont
rejetés
VPN Concentrator ๏ L’ASA supporte les connexions IPsec et SSL en Remote Access et les connexions VPN Site-to-Site
Intrusion Prevention
๏ Tous les modèles ASA supportent des fonctionnalités basiques d’IPS
๏ Des analyses plus détaillées peuvent être implémentés en ajoutant une carte ou un module d’extension Cisco
Advanced Inspection and Prevention Security Services Module (AIP-SSM) ou Cisco Advanced Inspection and
Prevention Security Services Card (AIP-SSC)
4 Cisco ASA - 18 octobre 2015
5. Thomas Moegli
Fonctions ASA
Fonctionnalités avancées
5
Fonction Description
Virtualisation
๏ Une appliance physique peut être partition en plusieurs instances virtuelles appelés contextes de sécurité
(Security Contexts)
๏ Chaque contexte est considéré comme un périphérique indépendant, avec ses propres règles, interfaces et
administrateurs
๏ La plupart des fonctionnalités IPS sont supportées excepté VPN et les protocoles de routage dynamiques
Haute disponibilité
๏ Deux ASA peuvent être reliés dans un mode de fonctionnement Active/Standby pour permettre la
redondance d’équipements et ala tolérance de pannes
๏ Un ASA est promu comme périphérique primaire (Active) tandis que l’autre est mis en mode StandBy
๏ Le software, les licences, la mémoire et les interfaces doivent être identiques sur les deux ASA
Identity Firewall
๏ L’ASA permet un contrôle d’accès en utilisant les informations d’authentification d’un annuaire Active Directory
๏ Permet de créer des règles permettant des utilisateurs ou groupes d’utilisateurs au lieu de règles traditionnels
basées sur les adresses IP
Threat Control
๏ En plus des fonctions IPS, des outils anti-malware et gestion des risques peuvent être ajoutés via le module
Content Security and Control (CSC)
5 Cisco ASA - 18 octobre 2015
6. Thomas Moegli
๏ Filtrage de paquets
๏ Filtrage Stateful
๏ Filtrage et inspection applicative
๏ Network Address Translation (NAT)
๏ DHCP
๏ Routage
๏ Implémentation Layer 3 ou Layer 2
Fonctions ASA
Résumé
6
๏ Support VPN
๏ Groupe d’objets (Object groups)
๏ Filtrage du trafic de botnets
๏ Haute disponibilité
๏ Support AAA
6 Cisco ASA - 18 octobre 2015
7. Thomas Moegli
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par
exemple trois clients différents
Fonctions ASA
Fonctionnalités avancées : Virtualisation
7
Internet
Périphérique ASA
Security
Context A
Security
Context B
Security
Context C
Customer 1
Customer 2
Customer 3
7 Cisco ASA - 18 octobre 2015
8. Thomas Moegli
๏ Le trafic provenant de PC 1 préfère utiliser le chemin passant par ASA-1
๏ ASA-1 et ASA-2 sont des périphériques identiques configurés pour la redondance. Chaque équipement surveille
l’activité de l’autre via le lien LAN Failover
๏ Si ASA-2 détecte que ASA-1 est défaillant, alors ASA-2 devient périphérique Primary/Active et le trafic est redirigé par
lui.
Fonctions ASA
Fonctionnalités avancées : Haute disponibilité
8
Internet
ASA-1
Primary/Active
PC-A
10.2.2.0/30
.1
.2
10.1.1.0/29
.3
.1
.2
192.168.1.0/24.1
.2
ASA-2
Secondary/Standby
LAN Failover
8 Cisco ASA - 18 octobre 2015
9. Thomas Moegli
Fonctions ASA
Fonctionnalités avancées : Identity Firewall
9
Internet
ASA
Microsoft Active
Directory AD Agent
ServerClient
๏ Un client qui tente d’accéder à des ressources sur un serveur doit d’abord s’authentifier en utilisant Microsoft Active
Directory
9 Cisco ASA - 18 octobre 2015
10. Thomas Moegli
๏ Des fonctionnalités IPS peuvent être ajoutés via des modules additionnels
๏ Le module Cisco Advanced Inspection and Prevention Security Services Modules (AIP-SSM) peut être utilisé sur le
périphérique ASA 5540
๏ Le module Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) peut être utilisé pour le périphérique
ASA 5505
Fonctions ASA
Fonctionnalités avancées : IDS/IPS
10
10 Cisco ASA - 18 octobre 2015
11. Thomas Moegli
ASA 5505
Quelques exemples de produits ASA
11
ASA 5510
ASA 5520, 5540, 5550
ASA 5585
11 Cisco ASA - 18 octobre 2015
13. Thomas Moegli
๏ Le Cisco ASA 5505 est une appliance de sécurité complète pour les petites entreprises ou les succursales
๏ Il comporte un pare-feu haute performance, SSL VPN, IPsec VPN et plusieurs services réseaux dans une même
appliance.
Modèles ASA
ASA 5505
13
13 Cisco ASA - 18 octobre 2015
14. Thomas Moegli
Modèles ASA
ASA 5505 : Présentation (panneau avant)
14
1
2
3
4
5
6
7
Description
1 Interface USB 2.0
2 Indicateurs Speed et Link
3 Indicateur d’alimentation (Power)
4 Indicateur de status
Description
5 Indicateur Active
6 Indicateur VPN
7 Indicateur Security Service Card (SSC)
14 Cisco ASA - 18 octobre 2015
15. Thomas Moegli
2 : Indicateurs Speed et Link
๏ Si la LED Speed est verte, le lien fonctionne à 100 Mb/s, aucune LED indique 10 Mb/s
๏ Si la LED Activity est verte, le lien réseau est établi et fonctionnel
๏ Si la LED Activity clignote, cela signifie de l’activité réseau
4 : Status LED
๏ Un indicateur vert clignotant indique que le système démarre et effectue le POST
๏ Un indicateur vert fixe indique que le système a passé les tests et qu’il est opérationnel
๏ Un indicateur orange indique des problèmes sur le système
5 : Active LED
๏ Un indicateur vert fixe indique que le Cisco ASA est configuré pour la tolérance de panne
6 : VPN LED
๏ Un indicateur vert fixe indique qu’un ou plusieurs tunnels VPN sont actifs
7 : Security Services Card (SSC) LED
๏ Un indicateur vert fixe indique qu’une carte SSC est présent dans le slot SSC
Modèles ASA
ASA 5505 : Présentation (panneau avant)
15
1
2
3
4
5
6
7
15 Cisco ASA - 18 octobre 2015
16. Thomas Moegli
Modèles ASA
ASA 5505 : Présentation (panneau arrière)
16
Description
1 Alimentation électrique (48 VDC)
2 Slot pour Security Services Card (SSC)
3 Port Console série
4 Slot pour câble anti-vol (Kensington)
Description
5 Bouton de réinitialisation (Reset)
6 2 ports USB 2.0
7 Ports Ethernet 10/100 (ports 0 - 5)
8 Ports PoE (Power of Ethernet) 10/100 (ports 6 et 7)
1
2 3
4
5
678
16 Cisco ASA - 18 octobre 2015
17. Thomas Moegli
2 : Slot pour extension avec Security Service Card (SSC)
๏ Permet l’ajout d’une carte Cisco Advanced Inspection and Prevention Security Services Card (AIP-SSC) pour installer les
services de prévention d’intrusion
6 : Ports USB pour l’installation de services additionnels
7 : 8 Ports Switch Ethernet 10/100
๏ Chaque port peut être groupé pour créer jusqu’à 3 VLAN séparés
8 : Les ports 6 et 7 sont PoE et simplifient le déploiement de téléphones IP Cisco ou points d’accès WiFi
Modèles ASA
ASA 5505 : Présentation (panneau arrière)
17
1
2 3
4
5
678
17 Cisco ASA - 18 octobre 2015
18. Thomas Moegli
Modèles ASA
ASA 5520 : Présentation
18
Description
1 Slots pour Security Services Modules (SSM)
2 2 ports USB 2.0
3 Interface de management Out of Band (OOB)
4 4 ports FastEthernet
Description
5 Slot pour carte Flash
6 Indicateurs LED Power, Status, Active, VPN, Flash
7 Port Console série
8 Port auxiliaire
1
3
2
4 5
6
7
8
18 Cisco ASA - 18 octobre 2015
19. Thomas Moegli
๏ Les appliances ASA sont pré-installées avec soit :
๏ Une licence de base (Base Licence)
๏ Une licence Security Plus
๏ Les licences peuvent être perpétuelles ou à durée limitée (time-based)
๏ Souvent, les licences à durée limitée sont utilisés pour des produits qui nécessitent un abonnement pour obtenir les mises à
jour (Botnet Inspection par ex.)
Licences ASA
19
19 Cisco ASA - 18 octobre 2015
20. Thomas Moegli
๏ Les clés de licence sont saisies avec la
commande activation-key
๏ Pour voir les licences activées sur l’ASA, il
faut entrer :
๏ show activation-key
๏ show-version
Licences ASA
Activation
20
ASA# activation-key
ASA# show activation-key
ASA# show version
ASA# activation-key 682fd277 c4874bb7 f533b52c c660c844 8422d892
ASA# show activation-key
Serial Number: JMX1316M41H
Running Activation Key: 0x2174cf47 0x945b4c3a 0x74159120 0xba2ca848 0x8f602feb
Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 3, DMZ Restricted
Inside Hosts : 10
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 10
WebVPN Peers : 2
Dual ISPs : Disabled
VLAN Trunk Ports : 0
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2
This platform has a Base license.
The flash activation key is the SAME as the running key.
20 Cisco ASA - 18 octobre 2015
21. Thomas Moegli
Licences ASA
Activation
21
ASA# activation-key
ASA# show activation-key
ASA# show version
ASA# show version
<Output omitted>
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports : 0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
This platform has a Base license.
Serial Number: JMX15364077
Running Permanent Activation Key: 0x970bc671 0x305fc569 0x70d21158 0xb6ec2ca8 0x8a003fb9
Configuration register is 0x41 (will be 0x1 at next reload)
Configuration last modified by enable_15 at 10:03:12.749 UTC Fri Sep 23 2011
21 Cisco ASA - 18 octobre 2015
22. Thomas Moegli
Licences ASA
Licences partagées et serveur de licence
22
Cisco ASA 5505
Participant
Cisco ASA 5505
Participant and Backup Licence Server
Cisco ASA 5505
Licence Server
Lausanne
Zürich
Genève
22 Cisco ASA - 18 octobre 2015
23. Thomas Moegli
๏ Le serveur de licence est partagé
๏ Les autres appliances fonctionnent comme participants
๏ Un participant peut être configuré comme serveur de licence de secours (Backup License Server)
๏ Un seul participant peut être serveur de secours
๏ Les licences sont distribuées aux participants par blocs de 50 licences
๏ Le participant va demander un nouveau bloc de 50 si le nombre actuel de licences restantes dans le bloc actuel est
inférieur à 10 unités.
๏ Les licences sont renvoyées sur le serveur de licences si
Licences ASA
Licences partagées et serveur de licence
23
23 Cisco ASA - 18 octobre 2015
25. Thomas Moegli
๏ Pour distinguer les réseaux internes et externes, l’ASA leur assigne un niveau de sécurité (Security-level)
๏ Le niveau de sécurité définit la confiance accordée à une interface (ou plusieurs interfaces dans le cas de l’ASA 5505)
๏ Plus le niveau est élevé, plus la confiance accordée est importante
๏ Le niveau peut être défini dans un intervalle de 0 (non confiant) à 100 (confiance totale)
๏ Chaque interface opérationnelle doit avoir :
๏ Un nom
๏ Un niveau de sécurité entre 0 et 100
๏ Une adresse IP (si on place l’ASA en mode Routed)
๏ Par défaut :
๏ Toute interface nommée inside se verra automatiquement attribué un niveau de sécurité = 100
๏ Toute interface nommée outside se verra automatiquement attribué un niveau de sécurité = 0
Niveaux de sécurité ASA
25
25 Cisco ASA - 18 octobre 2015
26. Thomas Moegli
๏ Par défaut, le trafic est autorisé depuis un niveau de confiance source supérieure à
la destination
๏ LAN ➔ WAN autorisé (car LAN = 100 > WAN = 0)
๏ WAN ➔ DMZ interdit (car WAN = 0 < DMZ = 50)
๏ Pour la DMZ, il est nécessaire d’ajouter des règles autorisant
un trafic précis depuis le WAN
๏ L’autorisation du trafic de retour se fait automatiquement grâce à la
fonction Statefull Inspection du Cisco ASA
๏ Si deux interfaces ont même niveau de confiance, la configuration par défaut d’ASA
fait qu’ils ne peuvent communiquer
Niveaux de sécurité ASA
26
DMZ
192.168.10.0/24
LAN
192.168.1.0/24
WAN
Security Level : 50
Security Level : 100
Security Level : 0
26 Cisco ASA - 18 octobre 2015
27. Thomas Moegli
Niveaux de sécurité
27
ASA2# show nameif
Interface Name Security
Vlan4 out 0
Vlan7 dmz 50
Vlan100 inside 100
27 Cisco ASA - 18 octobre 2015
28. Thomas Moegli
Types d’accès
28
Server
inside outside
Internet
Sec-lvl = 0Sec-lvl = 100
Implicit Permit
outbound
Implicit Deny
inbound
dmz
p1
Sec-lvl = 50
Permit
Inbound
through ACL
p2
Permit
Inbound
through ACL
Sec-lvl = 0
Sec-lvl = 0
Implicit deny between
02 partner interfaces
28 Cisco ASA - 18 octobre 2015
29. Thomas Moegli
๏ Inside Network
๏ Réseau protégé et placé derrière le firewall
๏ DMZ
๏ Zone démilitarisée, protégée par le firewall mais dispose de services qui doivent être accessibles par les clients (Visibilité
limitée)
๏ Outside network
๏ Réseau en dehors de la protection du firewall
Terminologie ASA
29
29 Cisco ASA - 18 octobre 2015
30. Thomas Moegli
๏ Le trafic issu du réseau Outside à destination du réseau Inside est refusé
๏ Le trafic issu du réseau DMZ à destination du réseau Inside est refusé
Terminologie ASA
30
Outside
ASA
E1
E0
E2
DMZ Inside
Clients
Internet
Web Srv
30 Cisco ASA - 18 octobre 2015
31. Thomas Moegli
Le périphérique ASA peut opérer dans un des 2 modes suivants :
Terminologie ASA
Mode Routed vs Transparant
31
ASA
10.2.1.0/24
10.1.1.0/24
10.1.1.1
10.2.1.1
10.1.1.0/29
.1 .2
ASA 10.1.1.3
๏ Mode Transparent
๏ Opère sur la couche 2
๏ S’intègre sur les réseaux existants sans devoir redéfinir l’adressage IP
๏ Simplifie le filtrage interne et la segmentation des réseaux
๏ Permet la protection et le filtrage sur un même sous-réseau
๏ Mode Routed (par défaut)
๏ Mode de déploiement traditionnel pour un firewall
๏ Sépare deux domaines de couche 3
๏ Permet également la configuration NAT
๏ Applique les règles aux flux de trafic qui transitent par ce firewall
Ne permet pas le filtrage de paquets entre deux hôtes du même sous-réseau
31 Cisco ASA - 18 octobre 2015
32. Thomas Moegli
Terminologie ASA
Mode Routed
32
Outside
ASA
E1
E0 E2
DMZ Inside
10.1.1.113
Internet
Web Srv
Inside
10.1.1.0/24
DMZ
10.1.3.0/24 Outside
100.1.2.0/24
Source NAT
10.1.1.113 ➔ 100.1.2.3
10.1.3.3
32 Cisco ASA - 18 octobre 2015
34. Thomas Moegli
๏ Le trafic doit être explicitement autorisé
๏ Chaque réseau directement connecté doit faire partie
du même sous-réseau
๏ L’adresse IP de management doit être également sur
le même sous-réseau
๏ NE PAS spécifier l’adresse IP de l’interface de
management comme passerelle par défaut
๏ Les périphériques doivent indiquer le routeur comme
passerelle par défaut
๏ Chaque interface doit être sur une interface VLAN
différente
Terminologie ASA
Mode Transparant
34
Outside
ASA
E0
E2
Inside
10.1.1.113
Internet
Inside
Management
.199
10.1.1.0/24
Outside
34 Cisco ASA - 18 octobre 2015
35. Thomas Moegli
Les fonctions suivantes ne sont pas supportés en mode Transparent :
๏ NAT
๏ Protocoles de routage dynamiques
๏ Routage multicast
๏ Pas de support d’adresses IPv6 Anycast
๏ DHCP Relay
๏ Qualité de service (QoS)
๏ Point de terminaison VPN
Terminologie ASA
Mode Transparant
35
35 Cisco ASA - 18 octobre 2015
36. Thomas Moegli
๏ Le mode par défaut est Routed
๏ Utiliser le mode Transparant avec la commande firewall transparent
๏ Pour revenir au mode Routed, utiliser la commande no firewall transparent
Configuration ASA
Configurer le mode de fonctionnement
36
ASA(config)# firewall transparent
Switched to transparent mode
ASA# show firewall
Firewall mode : Transparent
ASA(config)# no firewall transparent
Switched to router mode
ASA# show firewall
Firewall mode : Router
36 Cisco ASA - 18 octobre 2015
37. Thomas Moegli
๏ ARP : Address Resolution Protocol
๏ En premier, ajouter une entrée ARP statique. ARP Inspection compare les paquets ARP avec les entrées ARP de la table
ARP
arp outside 10.1.1.99 934903248
๏ Activer ARP Inspection avec la commande suivante :
lkfjdlksfjdslfkj
Configuration ASA
Mode Transparent : Configurer ARP Inspection
37
ASA(config)# arp outside 10.1.1.99 0001.5c32.6c81
ASA(config)# arp-inspection outside enable no-flood
37 Cisco ASA - 18 octobre 2015
38. Thomas Moegli
๏ Un même périphérique ASA peut être divisé en plusieurs ASA virtuels (Security context) permettant de servir par
exemple trois clients différents
Security Context
38
Internet
Périphérique ASA
Security
Context A
Security
Context B
Security
Context C
Customer 1
Customer 2
Customer 3
38 Cisco ASA - 18 octobre 2015
39. Thomas Moegli
๏ Commande de configuration globale : context
Configuration ASA
Création d’un Security Context
39
ASA(config)# context customer1
Creating context ‘customer1’...Done (4)
ASA(config-ctx)# description customer 1 context
ASA(config-ctx)#
ASA(config-ctx)# allocate-interface gigabitethernet0/1.101 int1
ASA(config-ctx)# allocate-interface gigabitethernet0/1.102 int2
ASA(config-ctx)#
ASA(config-ctx)# config-url disk0:context1.cfg
INFO: Converting disk0:context1.cfg to disk0/context1.cfg
WARNING: Could not fetch the URL disk0:/context1.cfg
INFO: Creating context with default config
ASA(config)# context nom-contexte
39 Cisco ASA - 18 octobre 2015
40. Thomas Moegli
Configuration ASA
Changer le Security Context
40
ASA# changeto context customer1
ASA/customer1# show run
: Saved
:
ASA Version 9.1(3) <context>
!
hostname customer1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface int 1
no nameif
no security-level
no ip address
!
interface int2
no nameif
no security-level
no ip address
40 Cisco ASA - 18 octobre 2015
41. Thomas Moegli
๏ Un Service Provider qui veut proposer des fonctionnalités de sécurité à plusieurs clients
๏ Coûts réduits, réduction des équipements physiques tout en offrant une séparation de trafic entre clients
๏ Grande entreprise ou campus qui désire séparer les départements (Segmentation)
๏ Toute organisation qui désire que son réseau soit sécurisée par plus d’un ASA
Security Context : Cas d’utilisation
41
41 Cisco ASA - 18 octobre 2015
42. Thomas Moegli
Les fonctions suivantes peuvent être configurées dans un Security Context particulier avec Cisco ASA v9.0 :
๏ Protocoles de routage dynamiques
๏ EIGRP
๏ OSPFv2
๏ VPN
๏ IKE v1
๏ IKEv2 Site-to-Site VPN
๏ Mélanges de modes de firewall
๏ Avant la version 9.0, tous les contextes devaient être configurés en mode Transparent ou Routed
๏ Après la version 9.0, il est possible de mélanger des contexts en mode Transparent avec des contexts en mode Routed
Security Context : Fonctions
42
42 Cisco ASA - 18 octobre 2015
44. Thomas Moegli
๏ Le CLI du Cisco ASA est un OS propriétaire qui ressemble à l’IOS des routeurs Cisco
๏ Comme les routeurs IOS Cisco, l’ASA reconnait les éléments suivants :
๏ Abréviation des commandes et mots-clés
๏ Utilisation de la touche Tab pour compléter une commande partielle
๏ Utilisation de la touche (?) pour voir la syntaxe
๏ Contrairement aux routeurs IOS, l’ASA :
๏ Permet d’exécuter n’importe quelle commande ASA quel que soit le mode de configuration affiché et ne reconnait pas la
commande do utilisé en mode de configuration globale sur les routeurs IOS
๏ L’interruption des commandes show se fait via la touche Q (contrairement à la séquence Ctrl+C utilisé sur les routeurs IOS)
ASA CLI
44
44 Cisco ASA - 18 octobre 2015
45. Thomas Moegli
ASA CLI
Commandes IOS et équivalents ASA
45
Commande routeur IOS Commande ASA
enable secret password enable password password
line con 0
password password
login
passwd password
ip route route outside
show ip interfaces brief show interface ip brief
show ip route show route
show plan show switch vlan
show ip nat translations show xlate
copy running-config startup-config write [memory]
erase startup-config write erase
45 Cisco ASA - 18 octobre 2015
47. Thomas Moegli
๏ Depuis le software Cisco ASA v8.4, un ASA neuf sorti de la boîte possède une configuration limitée par défaut pour
permettre la connectivité IP
๏ La configuration par défaut sur un Cisco ASA 5510 ou plus possède une interface de management activée avec
l’adresse IP 192.168.1.1 pré-configurée
๏ Sur un Cisco ASA 5505, les interfaces switch (Ethernet0/0 - 0/7) sont actives.
๏ L’interface Ethernet0/0 est assignée au VLAN2, qui est supposée être l’interface associée au réseau Outside.
๏ Toutes les autres interfaces sont assignées au VLAN1 et sont considérés comme interfaces Inside.
๏ Le VLAN1 possède une adresse IP préconfigurée de 192.168.1.1/24 tandis que le VLAN2 est préconfigurée comme client
DHCP et reçoit une adresse IP dynamique.
Accès au CLI
Connexion par console
47
47 Cisco ASA - 18 octobre 2015
48. Thomas Moegli
๏ Il est possible de configurer les adresses IP acceptées par l’ASA pour une connexion Telnet
ASA(config)# telnet 10.1.1.0 255.255.255.0 inside
๏ IMPORTANT
Telnet est un protocole non sécurisé. Il est recommandé d’utiliser SSH pour gérer le Cisco ASA ou tout autre
périphérique.
Accès au CLI
Connexion par Telnet
48
ASA(config)# telnet 10.1.1.0 255.255.255.0 inside
48 Cisco ASA - 18 octobre 2015
49. Thomas Moegli
๏ Accès Telnet (si requis)
๏ SSH est recommandé plutôt que Telnet
๏ Même si l’authentification est sécurisée via la commande passwd, sécuriser l’accès Telnet/SSH via une authentification
AAA avec une base de données locale est recommandée
๏ Utiliser les commandes suivantes pour activer l’authentification AAA :
๏ username name password password
๏ aaa authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server}
๏ telnet host-ip host-mask inside
๏ telnet timeout minutes
Accès au CLI
Configuration : Telnet
49
ASA(config)# username name password password
ASA(config)# aaa authentication {telnet | ssh} console {LOCAL | TACACS-server | RADIUS-server}
ASA(config)# telnet host-ip host-mask inside
ASA(config)# telnet timeout minutes
ASA(config)# username admin password class
ASA(config)# aaa authentication telnet console LOCAL
ASA(config)# telnet 192.168.1.3 255.255.255.255 inside
ASA(config)# telnet timeout 10
ASA(config)#
passwd
49 Cisco ASA - 18 octobre 2015
50. Thomas Moegli
Etapes
1. Générer une clé RSA : ASA(config)
๏ Sur le ASAv, la clé RSA est automatiquement générée après le déploiement
๏ La valeur modulus (en bits) doit être 512, 768, 1024 ou 2048
๏ Plus le modulus est grand, plus la clé sera difficile à décrypter mais plus le temps pour la générer sera importante
2. Sauvegarder la clé RSA et la configuration avec la commande d’enregistrement mémoire :
write mem
Accès au CLI
Connexion par SSH
50
ASA(config)# crypto key generate rsa modulus 1024
ASA# write mem
50 Cisco ASA - 18 octobre 2015
51. Thomas Moegli
Etapes
3. Activer l’authentification locale : ASA(config)
4. Créer un utilisateur dans la base de données locale :
5. Identifier les adresses IP sur lesquelles ASA accepte les connexions SSH :
๏ Il est possible de limiter l’accès à une version de SSH particulière (v1 ou v2). Par défaut, SSH accepte les
deux versions
Accès au CLI
Connexion par SSH
51
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# username admin password sUp3rScrTP4$$
ASA(config)# ssh 10.1.1.0 255.255.255.0 inside
ASA(config)# ssh version 2
51 Cisco ASA - 18 octobre 2015
52. Thomas Moegli
๏ Configuration similaire à Telnet mais requiert :
๏ Authentification AAA à activer
๏ Génération de clés RSA
๏ Pour vérifier la configuration SSH, utiliser la commande show ssh
Opérations de base
Configuration : SSH
52
ASA(config)# username admin password class
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# crypto key generate rss modulus 1024
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: y
Keypair generation process begin. Please wait...
CCNAS-ASA(config)# ssh 192.168.1.3 255.255.255.255 inside
CCNAS-ASA(config)# ssh timeout 10
CCNAS-ASA(config)# exit
CCNAS-ASA#
CCNAS-ASA# show ssh
Timeout: 5 minutes
Versions allowed: 1 and 2
192.168.1.3 255.255.255.255 inside
CCNAS-ASA#
52 Cisco ASA - 18 octobre 2015
53. Thomas Moegli
๏ En premier, localiser le slot sur lequel le module est installé
Accès au module de service Cisco ASA
(Cisco ASA-SM)
53
Switch# show module
Mod Ports Card Type Model Serial No.
--- ----- ------------------------------------ ------------------- -----------
2 3 ASA Service Module WS-SVC-ASA-SM1 SAD18372221
Mod MAC addresses Hw Fw Sw Status
--- —————————————————————————————————————- ----- ------------ ------------ -------
2 0022.bdd4.016f to 0022.bdd4.017e 0.201 12.2(2010080 12.2(2010121 Ok
...
๏ Utiliser la commande service-module session pour se connecter depuis le switch sur le module ASA-SM
Switch# service-module session slot 2
ASA>
Sw# service-module session
53 Cisco ASA - 18 octobre 2015
54. Thomas Moegli
๏ Dans le client web VMware
vSphere, cliquez-droit sur
l’instance ASAv dans l’inventaire
et choisir Open Console
๏ Ou sélectionnez l’instance et
ouvrez l’onglet Console
Accès à la console ASAv
54
54 Cisco ASA - 18 octobre 2015
55. Thomas Moegli
๏ Il est possible également de configurer un port série dans VMware vSphere
๏ Sur l’ASAv, créez un fichier appelé use_ttyS0 dans le répertoire racine du disk0. .Ce fichier ne doit pas avoir de
contenu, il doit simplement exister à l’emplacement suivant :
disk0:/use_ttyS0
๏ Depuis ASDL, il est possible de charger un fichier texte vide en utilisant Tools ➔ File Management. L’accès ASDM est
discuté plus loin
๏ Sur la CLI, il est possible de copier un fichier existant et de le coller avec un nouveau nom. Par exemple :
(config)#
asdasd
๏ Rechargez ensuite l’ASAv
Accès à la console ASAv
55
ASAv# cd coredumpinfo
ASAv# copy coredumpinfo.cfg disk0:/use_ttyS0
disk0:/use_ttyS0
use_ttyS0 disk0
55 Cisco ASA - 18 octobre 2015
56. Thomas Moegli
๏ Interface de management sur les modèles :
๏ L’ASA 5505 ne possède pas d’interface de management
๏ ASA 5506 : Management 1/1
๏ ASA 5512-X et plus : Management 0/0
๏ ASAv : Management 0/0
๏ Par défaut, l’adresse IP de l’interface de management :
๏ Appliances physiques : 192.168.1.1
๏ ASAv : configuré par l’administrateur lors du déploiement
Accès ASDM via l’interface Management
56
56 Cisco ASA - 18 octobre 2015
57. Thomas Moegli
๏ Lorsque la configuration par défaut n’est pas requise, il est conseillé de supprimer puis recharger l’ASA via les
commandes write erase et reload
๏ L’ASA ne reconnait pas la commande erase startup-config utilisé sur les routeurs IOS
๏ Une fois l’ASA redémarré, l’assistant de configuration initiale propose de configurer les éléments essentiels de l’ASA
๏ Cette méthode est optionnel, l’utilisateur peut répondre no pour ne pas utiliser l’assistant
๏ Cette méthode configure également les éléments essentiels pour l’accès à l’ASA via ASDM
ASA CLI
Assistant de configuration initiale
57
write erase reload
erase startup-config
57 Cisco ASA - 18 octobre 2015
58. Thomas Moegli
๏ Les éléments suivants peuvent être configurés via l’assistant :
๏ Mode du firewall
๏ Mot de passe enable
๏ Méthode de recouvrement du mot de passe enable
๏ Date et heure
๏ Adresse IP et masque
๏ Nom d’hôte de l’ASA
๏ Nom de domaine
ASA CLI
Assistant de configuration initiale
58
58 Cisco ASA - 18 octobre 2015
59. Thomas Moegli
…
Pre-configure Firewall now through interactive prompts [yes]?
Firewall Mode [Routed]:
Enable password [<use current password>]: cisco
Allow password recovery [yes]?
Clock (UTC):
Year [2012]:
Month [Oct]:
Day [3]:
Time [03:44:47]: 6:49:00
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: CCNAS-ASA
Domain name: ccnasecurity.com
IP address of host running Device Manager: 192.168.1.2
The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 6:49:00 Oct 3 2011
Firewall Mode: Routed
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: CCNAS-ASA
Domain name: ccnasecurity.com
IP address of host running Device Manager: 192.168.1.2
Use this configuration and write to flash? yes
INFO: Security level for "management" set to 0 by default.
WARNING: http server is not yet enabled to allow ASDM access.
Cryptochecksum: ba17fd17 c28f2342 f92f2975 1e1e5112
2070 bytes copied in 0.910 secs
Type help or '?' for a list of available commands.
CCNAS-ASA>
ASA CLI
Assistant de configuration initiale
59
59 Cisco ASA - 18 octobre 2015
60. Thomas Moegli
๏ Activer le serveur HTTP interne et indiquer les adresses IP qui autorisent les connexions HTTP (ASDM) sur l’ASA
๏ Spécifier l’image ASDM à utiliser
Accès ASDM via l’interface Management
Configuration de l’accès ASDM
60
ASA(config)# http server enable
ASA(config)# http 10.1.1.0 255.255.255.0 inside
ASA(config)# asdm image disk0:/asdm-731.bin
60 Cisco ASA - 18 octobre 2015
61. Thomas Moegli
Accès ASDM via l’interface Management
Accès ASDM
61
61 Cisco ASA - 18 octobre 2015
62. Thomas Moegli
Accès ASDM via l’interface Management
Accès ASDM
62
62 Cisco ASA - 18 octobre 2015
63. Thomas Moegli
Accès ASDM via l’interface Management
Accès ASDM
63
63 Cisco ASA - 18 octobre 2015
64. Thomas Moegli
๏ Pour supprimer et désactiver l’accès au service ASA HTTP Server, utiliser la commande suivante :
Accès ASDM via l’interface Management
Accès ASDM
64
ASA# clear configure http
64 Cisco ASA - 18 octobre 2015
65. Thomas Moegli
๏ Du fait que l’ASA-SM ne propose aucune interface physique, il n’est pas pré-configuré pour l’accès ASDM
๏ Il faut configurer l’accès ASDM en passant par la console CLI du ASA-SM et en s’y connectant par le moyen vu
précédemment.
Accès ASDM via l’interface Management
Accès ASDM sur les modules ASA-SM
65
65 Cisco ASA - 18 octobre 2015
67. Thomas Moegli
๏ Pour configurer le nom d’hôte, utiliser la commande de configuration globale hostname
๏ Pour configurer le nom de domaine, utiliser la commande de configuration globale domain-name
Opérations de base
Configuration du nom d’hôte et nom de domaine
67
ASA(config)# hostname monASA
monASA(config)#
ASA# hostname nomHote
monASA(config)# domain-name cisco.com
monASA(config)#
ASA# domain-name nomDomaine
67 Cisco ASA - 18 octobre 2015
68. Thomas Moegli
๏ Configurer le mot de passe pour l’authentification distant (Telnet/SSH)
๏ Configurer le mot de passe pour l’accès privilégié (enable)
Opérations de base
Configuration du mot de passe
68
ASA(config)# password th1$isApasswd
ASA(config)# enable password th1$isAnotherPasswd
68 Cisco ASA - 18 octobre 2015
69. Thomas Moegli
๏ La fonction de Master Passphrase permet de stocker les mots de passe de manière chiffrée
๏ Une « clé universelle » est utilisée pour chiffrer tous les mots de passe
๏ Cette fonction est supportée pour :
๏ Authentification OSPF
๏ Authentification EIGRP
๏ VPN Load Balancing
๏ VPN (Remote Access et Site-to-Site)
๏ Tolérance de panne (Failover)
๏ Serveurs AAA
๏ Logins
๏ Licences partagées
Opérations de base
Master Pass-Phrase
69
69 Cisco ASA - 18 octobre 2015
70. Thomas Moegli
๏ Configuration d’une Master Passphrase :
Opérations de base
Master Pass-Phrase : Configuration
70
ASA(config)# key config-key password-encryption
New key: **********
Confirm key: **********
ASA(config)# password encryption aes
70 Cisco ASA - 18 octobre 2015
71. Thomas Moegli
๏ Pour configurer le fuseau horaire :
Opérations de base
Configuration date et temps
71
ASA(config)# clock timezone EST -5
ASA(config)# end
ASA# show clock
16:42:05.459 EST Wed Jan 7 2015
71 Cisco ASA - 18 octobre 2015
72. Thomas Moegli
๏ Configuration manuelle de la date et de l’heure :
Opérations de base
Configuration date et temps
72
ASA(config)# clock set 20:54:00 february 28 2015
ASA(config)# end
ASA# show clock
20:54:03.949 EST Sat Feb 28 2015
72 Cisco ASA - 18 octobre 2015
73. Thomas Moegli
๏ Activer l’authentification NTP :
๏ Configurer le serveur NTP :
๏ Il est possible de configurer plusieurs serveurs NTP. Le mot-clé prefer spécifie le serveur qui sera utilisé en priorité
Opérations de base
Configuration : NTP
73
ASA(config)# ntp authenticate
ASA(config)# ntp trusted-key 1
ASA(config)# ntp authentication-key 1 md5 th1$isAkey!
ASA(config)# ntp server 10.11.12.123 key 1 prefer
73 Cisco ASA - 18 octobre 2015
74. Thomas Moegli
๏ Sur les équipements ASA 5510 et ultérieur, les interfaces sont routés dès qu’une configuration IP leur est appliquée
๏ L’ASA 5505 dispose de 8 ports Ethernet pour du switching Layer 2. Le routage IP s’effectue en plusieurs étapes
๏ Configuration d’une ou plusieurs interfaces virtuelles (SVI : Switched Virtual Interfaces) inside et outside. La configuration
comprend l’assignation d’un nom d’interface, d’un niveau de sécurité et d’une adresse IP
๏ Assignation d’un port Layer 2 au SVI VLAN Inside ou Outside
๏ Il est possible de définir un troisième SVI pour définir par exemple une zone DMZ
๏ Toutefois, la licence de base pour un ASA 5505 ne permet qu’un nombre restreint de SVI
Opérations de base
Configuration : Interfaces Inside et Outside
74
74 Cisco ASA - 18 octobre 2015
75. Thomas Moegli
๏ Configuration d’une interface SVI Inside ou Outside dans un VLAN particulier
๏ interface vlan vlan-number :
๏ nameif {inside | outside | name} : Assignation d’un nom à l’interface
๏ security-level value : Assignation d’un niveau de sécurité sur l’interface SVI
๏ Par défaut, la valeur de l’interface Inside vaut 100 et l’interface Outside vaut 0
๏ ip address ip-address netmask : Configuration d’une adresse IP
Opérations de base
Configuration : Interfaces Inside et Outside
75
ASA(config)# interface vlan vlan-number
ASA(config-if)# nameif {inside | outside | name}
ASA(config-if)# security-level value
ASA(config-if)# ip address ip-address netmask
CCNAS-ASA(config)# interface vlan 1
CCNAS-ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
CCNAS-ASA(config-if)# security-level 100
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# exit
CCNAS-ASA(config)# interface vlan 2
CCNAS-ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
CCNAS-ASA(config-if)# security-level 0
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# exit
75 Cisco ASA - 18 octobre 2015
76. Thomas Moegli
๏ Optionnellement, au lieu d’une adresse IP fixe, une interface peut être configurée comme :
๏ Client DHCP via la commande ip address dhcp [setroute]
๏ Client PPPoE via la commande ip address pope
๏ La configuration de l’ASA comme serveur DHCP sera vue plus loin
Opérations de base
Configuration : Interfaces Inside et Outside
76
ASA(config-if)# ip address dhcp [setroute]
ASA(config-if)# ip address pppoe [setroute]
76 Cisco ASA - 18 octobre 2015
77. Thomas Moegli
๏ Un ASA 5505 avec une licence Security Plus supporte automatiquement la création de VLAN additionnels pour créer
d’autres zones, comme une zone DMZ
๏ Cependant, un ASA 5505 avec seulement une licence Basic ne supporte qu’un troisième SVI VLAN
๏ Ce SVI est limité pour initialiser les contacts sur un autre VLAN spécifique
๏ La commande suivante doit être configurée pour supporter le troisième VLAN SVI sur un ASA 5505 avec licence Basic :
no forward interface plan vlan-id
๏ vlan-id spécifie le VLAN sur lequel l’interface ne peut initier de trafic
๏ Cette commande ne doit être configurée que lorsque les interfaces VLAN Inside et Outside sont configurées
๏ Le nouveau SVI doit également être nommé, posséder un niveau de sécurité ainsi qu’une adresse IP.
Opérations de base
Configuration : Interfaces Inside et Outside
77
ASA(config)# no forward interface vlan vlan-id
77 Cisco ASA - 18 octobre 2015
78. Thomas Moegli
๏ Les ports Layer 2 doivent être assignées ensuite aux SVI VLAN crées précédemment
๏ Par défaut, tous les ports sont membres du VLAN 1
๏ La configuration se fait via les commandes suivantes :
๏ interface interface number : Entrer en mode de configuration d’interface
๏ switchport access vlan vlan-id : Assignation du VLAN au port L2
๏ no shutdown : Activation de l’interface
๏ Pour vérifier les paramètres VLAN, utiliser la commande show switch vlan
Opérations de base
Configuration : Assignation ports L2 aux VLANs
78
ASA(config)# interface interface number
ASA(config-if)# switchport access vlan vlan-id
ASA(config-if)# no shutdown
CCNAS-ASA(config-if)# interface e0/1
CCNAS-ASA(config-if)# switchport access vlan 1
CCNAS-ASA(config-if)# no shut
CCNAS-ASA(config-if)# exit
CCNAS-ASA(config)# interface e0/0
CCNAS-ASA(config-if)# switchport access vlan 2
CCNAS-ASA(config-if)# no shut
CCNAS-ASA(config-if)# exit
CCNAS-ASA(config)#
ASA# show switch vlan
78 Cisco ASA - 18 octobre 2015
79. Thomas Moegli
Opérations de base
Configuration : Assignation ports L2 aux VLANs
79
CCNAS-ASA# show switch vlan
VLAN Name Status Ports
---- —————————————————————- ——————————- -------------------------------------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
CCNAS-ASA#
CCNAS-ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up
Ethernet0/1 unassigned YES unset up up
Ethernet0/2 unassigned YES unset administratively down up
Ethernet0/3 unassigned YES unset administratively down up
Ethernet0/4 unassigned YES unset administratively down up
Ethernet0/5 unassigned YES unset administratively down up
Ethernet0/6 unassigned YES unset administratively down up
Ethernet0/7 unassigned YES unset administratively down up
Internal-Data0/0 unassigned YES unset administratively down up
Internal-Data0/1 unassigned YES unset administratively down up
Vlan1 192.168.1.1 YES manual up up
Vlan2 209.156.200.226 YES manual up up
Virtual0 127.0.0.1 YES unset up up
CCNAS-ASA#
79 Cisco ASA - 18 octobre 2015
80. Thomas Moegli
Configuration de l’ASA comme serveur DHCP
๏ Le nombre maximum de clients DHCP dépend de la licence :
Opérations de base
Configuration : DHCP
80
Nombre d’hôtes par licence Nombre maximum d’adresses IP disponibles pour DHCP
10 hôtes 32 adresses
50 hôtes 128 adresses
Illimité 256 adresses
80 Cisco ASA - 18 octobre 2015
81. Thomas Moegli
Configuration de l’ASA comme serveur DHCP
๏ Spécifier un pool d’adresses DHCP
๏ Spécifier les options du pool DHCP (Nom de domaine, serveurs DHCP, interface sur laquelle activer le pool)
Opérations de base
Configuration : DHCP
81
ASA(config)# dhcpd dns 8.8.8.8
ASA(config)# dhcpd domain cisco.com
ASA(config)# dhcpd enable inside
ASA(config)# dhcpd address 192.168.1.131-192.168.1.175 inside
81 Cisco ASA - 18 octobre 2015
82. Thomas Moegli
Opérations de base
Vérification : DHCP
82
CCNAS-ASA# show dhcpd binding
IP address Client Identifier Lease expiration Type
CCNAS-ASA# show dhcpd state
Context Configured as DHCP Server
Interface inside, Configured for DHCP SERVER
Interface outside, Configured for DHCP CLIENT
CCNAS-ASA# show dhcpd statistics
DHCP UDP Unreachable Errors: 0
DHCP Other UDP Errors: 0
Address pools 1
Automatic bindings 0
Expired bindings 0
Malformed messages 0
Message Received
BOOTREQUEST 0
DHCPDISCOVER 0
DHCPREQUEST 0
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Message Sent
BOOTREPLY 0
DHCPOFFER 0
DHCPACK 0
DHCPNAK 0
82 Cisco ASA - 18 octobre 2015
83. Thomas Moegli
๏ Il est possible de configurer l’agent de relais DHCP de manière globale ou par interface
๏ Si configuré de manière globale, il est nécessaire de spécifier l’interface sur laquelle le serveur DHCP est atteignable
๏ Configuration d’une interface pour les requêtes DHCP entrantes :
Opérations de base
Configuration : Agent de relais DHCP
83
ASA(config)# dhcprelay server 10.20.12.5 outside
ASA(config)# dhcprelay enable dmz
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay server 10.3.4.5
83 Cisco ASA - 18 octobre 2015
84. Thomas Moegli
๏ Il est possible d’indiquer spécifiquement les interfaces sur lesquelles seront connectées des clients DHCP de confiance
๏ Pour faire confiance à toutes les interfaces :
๏ Configuration du timeout pour le relai de requêtes DHCP (par défaut : 60 sec) :
Opérations de base
Configuration : Interface de confiance DHCP et Timeouts
84
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# dhcprelay information trusted
ASA(config)# dhcprelay information trust-all
ASA(config)# dhcprelay timeout 30
84 Cisco ASA - 18 octobre 2015
85. Thomas Moegli
๏ Configuration d’un agent relai IPv6 pour les clients de la DMZ vers un serveur DHCP connecté sur l’interface outside
Opérations de base
Configuration : DHCPv6 Relay
85
ASA(config)# ipv6 dhcprelay server 1FFC:C00:C18:6:A8BB:AAFF:F123:1234 outside
ASA(config)# dhcprelay enable dmz
85 Cisco ASA - 18 octobre 2015
86. Thomas Moegli
๏ Si l’ASA est configuré comme client DHCP ou PPPoE, il est très probable qu’il reçoit sa route par défaut via le
périphérique supérieure
๏ Dans le cas contraire, l’ASA requiert la configuration d’une route statique par défaut
๏ Pour vérifier la présence de la route, utiliser la commande show route
Opérations de base
Configuration : Route par défaut
86
CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225
CCNAS-ASA(config)# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 209.165.200.225 to network 0.0.0.0
C 209.165.200.224 255.255.255.248 is directly connected, outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 209.165.200.225, outside
CCNAS-ASA(config)#
ASA# show route
86 Cisco ASA - 18 octobre 2015
87. Thomas Moegli
Opérations de base
Vérification des paramètres de base
87
CCNAS-ASA# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
CCNAS-ASA#
CCNAS-ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up
Ethernet0/1 unassigned YES unset up up
Ethernet0/2 unassigned YES unset administratively down up
Ethernet0/3 unassigned YES unset administratively down up
Ethernet0/4 unassigned YES unset administratively down down
Ethernet0/5 unassigned YES unset administratively down down
Ethernet0/6 unassigned YES unset administratively down down
Ethernet0/7 unassigned YES unset administratively down down
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Vlan1 192.168.1.1 YES manual up up
Vlan2 209.156.200.226 YES manual up up
Virtual0 127.0.0.1 YES unset up up
CCNAS-ASA#
87 Cisco ASA - 18 octobre 2015
89. Thomas Moegli
๏ Cisco ASA Security Device Manager (ASDM) est un outil GUI Java permettant de faciliter l’installation, la configuration,
le monitoring et le troubleshooting d’un Cisco ASA
๏ ASDM est préchargé dans la mémoire Flash de n’importe quel ASA fonctionnant sur une version 7.0 et ultérieur
๏ ASDM peut être :
๏ Démarré comme application Java Web téléchargé dynamiquement depuis la mémoire Flash du routeur ASA
๏ Téléchargé depuis la mémoire Flash et installé sur un poste en tant qu’application Java complète permettant à un
administrateur de gérer plusieurs périphériques ASA
Cisco ASDM
89
89 Cisco ASA - 18 octobre 2015
90. Thomas Moegli
Etapes
1. Vérifier la connectivité avec l’ASA (Ping)
2. Ouvrir un navigateur Web et établir une connexion HTTP à l’ASA
3. Choisir de
๏ Installer ASDM en tant qu’application Java
๏ Démarrer ASDM en tant qu’application Web Java
๏ Démarrer l’assistant pour effectuer les paramètres initiaux
4. S’authentifier sur l’ASDM
Cisco ASDM
Démarrage ASDM
90
90 Cisco ASA - 18 octobre 2015
91. Thomas Moegli
๏ La page Home affiche un résumé du status opérationnel de l’ASA. Cette page est rafraichie toutes les 10 sec.
Cisco ASDM
Tableau de bord ASDM : Home - Device
91
91 Cisco ASA - 18 octobre 2015
92. Thomas Moegli
๏ La page Firewall affiche des informations de sécurité liées au trafic qui transite par l’ASA
Cisco ASDM
Tableau de bord ASDM : Home - Firewall
92
92 Cisco ASA - 18 octobre 2015
93. Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Device Name/Password
Cisco ASDM
Configuration d’hôte et mot de passe
93
93 Cisco ASA - 18 octobre 2015
94. Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Interfaces Settings ➔ Interfaces
Cisco ASDM
Configuration des interfaces
94
94 Cisco ASA - 18 octobre 2015
95. Thomas Moegli
๏ Configuration ➔ Device Setup ➔ Interfaces ➔ Switch Ports
Cisco ASDM
Configuration des interfaces L2
95
95 Cisco ASA - 18 octobre 2015
96. Thomas Moegli
๏ Configuration ➔ Device Management ➔ Management Access ➔ ASDM/HTTPS/Telnet/SSH
Cisco ASDM
Configuration Telnet et SSH
96
96 Cisco ASA - 18 octobre 2015
98. Thomas Moegli
๏ Sur un ASA, l’administrateur effectue les configurations (règles de firewalls, règles VPN, règles NAT, …) via l’utilisation
d’objets (Objects) ou groupes d’objets (Objects Groups)
๏ Un objet peut être défini par une adresse IP particulière, un sous-réseau ou un protocole (et optionnellement un
numéro de port)
๏ L’avantage d’utiliser les objets est que, lorsque l’un des paramètres doit être modifié (adresse IP, port, …), les
changements sont automatiquement appliquées aux règles utilisant cet objet
Objects et Objects Groups
98
98 Cisco ASA - 18 octobre 2015
99. Thomas Moegli
L’ASA supporte deux types d’objets :
๏ Network Object :
๏ Contient une adresse IP/Masque de sous-réseau
๏ Peut être défini pour un hôte, un sous-réseau ou un intervalle
๏ Service Object :
๏ Contient un protocole ainsi (optionnel) qu’un port source et/ou destination
Objets
99
CCNAS-ASA(config)# object ?
configure mode commands/options:
network Specifies a host, subnet or range IP addresses
service Specifies a protocol/port
CCNAS-ASA(config)#
Un Network Object est requis pour configurer NAT
99 Cisco ASA - 18 octobre 2015
100. Thomas Moegli
๏ Pour créer un Network Object, utiliser la commande de configuration globale object network object-name
๏ On passe en mode de configuration de Network Object
๏ Un Network Object ne peut contenir qu’une seule adresse IP/Masque
๏ La saisie d’une adresse IP/Masque secondaire efface et remplace la configuration existante
๏ Pour effacer tous les Network Objects, utiliser la commande clear config object network
Configuration d’un Network Object (CLI)
100
CCNAS-ASA(config)# object network EXAMPLE-1
CCNAS-ASA(config-network-object)# host 192.168.1.4
CCNAS-ASA(config-network-object)# range 192.168.1.10 192.168.1.20
CCNAS-ASA(config-network-object)# exit
CCNAS-ASA(config)#
CCNAS-ASA(config)# show running-config object
object network EXAMPLE-1
range 192.168.1.10 192.168.1.20
CCNAS-ASA(config)#
ASA(config)# object network object-name
ASA# clear config object network
100 Cisco ASA - 18 octobre 2015
101. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
Configuration d’un Network Object (ASDM)
101
101 Cisco ASA - 18 octobre 2015
102. Thomas Moegli
๏ Pour créer un Service Object, utiliser la commande de configuration globale object network object-name
๏ On passe en mode de configuration de Service Object
๏ Un Service Object ne peut être associé qu’avec un seul protocole et port (ou ports)
๏ Si un Service Object existant est configuré avec un protocole et un port différents (ou des ports), la nouvelle configuration
remplace les protocoles et ports existants avec les nouveaux.
Configuration d’un Service Object (CLI)
102
CCNAS-ASA(config)# object service SERV-1
CCNAS-ASA(config-service-object)# service tcp destination eq ftp
CCNAS-ASA(config-service-object)# service tcp destination eq www
CCNAS-ASA(config-service-object)# exit
CCNAS-ASA(config)#
CCNAS-ASA(config)# show running-config object
object service SERV-1
service tcp destination eq www
CCNAS-ASA(config)#
ASA(config)# object service object-name
102 Cisco ASA - 18 octobre 2015
103. Thomas Moegli
Il existe 5 options de service :
๏ Spécifie un nom de protocole IP ou un numéro de port
๏ Spécifie que le Service Object est pour le protocole TCP
๏ Spécifie que le Service Object est pour le protocole UDP
๏ Spécifie que le Service Object est pour le protocole ICMP
๏ Spécifie que le Service Object est pour le protocole ICMP6
Configuration d’un Service Object (CLI)
103
ASA(config)# service protocol [source [operator port]] [destination [operator port]]
ASA(config)# service tcp [source [operator port]] [destination [operator port]]
ASA(config)# service udp [source [operator port]] [destination [operator port]]
ASA(config)# service icmp icmp-type
ASA(config)# service icmp6 icmp6-type
103 Cisco ASA - 18 octobre 2015
104. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Configuration d’un Service Object (ASDM)
104
104 Cisco ASA - 18 octobre 2015
105. Thomas Moegli
๏ Les Objects Groups sont utilisés pour grouper les objets
๏ Les objets peuvent être rattachés ou détachés de plusieurs Objects Groups
๏ Cela permet d’éviter la duplication d’objets
๏ Il est possible de créer plusieurs types de groupes d’objets : Network, Protocol, Type ICMP avec la commande :
๏ Il est également possible de créer des groupes d’objets de service via la commande :
Objects Groups
105
ASA(config)# object-group {network | protocol | icmp-type} group-name
ASA(config)# object-group service group-name [tcp | udp | tcp-udp]
105 Cisco ASA - 18 octobre 2015
106. Thomas Moegli
๏ Il existe 4 types de groupes d’objets :
Objects Groups
106
Object-Group Description
Network Spécifie une liste d’hôtes IP, sous-réseaux ou intervalles d’IP
Protocol
Combine les protocoles IP (comme TCP, UDP, ICMP) dans un objet
Par exemple, pour intégrer TCP et UDP pour le protocole DNS, créer un Object Group et ajouter le protocole TCP et UDP dans ce
groupe
ICMP
Le protocole ICMP utilise un type unique pour l’envoi de messages de contrôle (RFC 792)
Le groupe d’objets ICMP-type peut grouper les types nécessaires pour des besoins de sécurité
Service
Utilisé pour grouper les ports TCP, UDP, TCP/UDP dans un objet
Il peut contenir un mélange de services TCP, services UDP, services ICMP, et tout protocole comme par ex. ESP, GRE, …
CCNAS-ASA(config)# object group ?
configure mode commands/options:
icmp-type Specifies a group of ICMP types, such as echo
network Specifies a group of host or subnet IP addresses
protocol Specifies a group of protocols, such as TCP, etc
service Specifies a group of TCP/UDP ports/services
user Specifies single user, local or import user group
CCNAS-ASA(config)#
106 Cisco ASA - 18 octobre 2015
107. Thomas Moegli
๏ Pour configurer un Network Object Group, utiliser la commande
๏ Ajouter les objets réseaux via les commandes suivantes :
๏ network-object
๏ group-object
Network Objects Groups (CLI)
107
CCNAS-ASA(config)# object-group network ADMIN-HOST
CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.3
CCNAS-ASA(config-network-object-group)# network-object host 192.168.1.4
CCNAS-ASA(config-network-object-group)# exit
CCNAS-ASA(config)# object-group network ALL-HOSTS
CCNAS-ASA(config-network-object-group)# network-object 192.168.1.32 255.255.255.240
CCNAS-ASA(config-network-object-group)# group-object ADMIN-HOST
CCNAS-ASA(config-network-object-group)# exit
CCNAS-ASA(config)# show run object-group
object-group network ADMIN-HOST
description Administrative host IP addresses
network-object host 192.168.1.3
network-object host 192.168.1.4
object-group network ALL-HOSTS
network-object 192.168.1.32 255.255.255.240
group-object ADMIN-HOST
CCNAS-ASA(config)#
ASA(config)# network-object
ASA(config)# group-object
ASA(config)# object-group network grp-name
107 Cisco ASA - 18 octobre 2015
108. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
Network Objects Groups (ASDM)
108
108 Cisco ASA - 18 octobre 2015
109. Thomas Moegli
๏ Pour configurer un Protocol Object Group, utiliser la commande de configuration globale :
๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes :
๏ protocol-object
๏ group-object
Protocol Object Group
109
CCNAS-ASA(config)# object-group protocol PROTO-1
CCNAS-ASA(config-protocol-object-group)# protocol-object udp
CCNAS-ASA(config-protocol-object-group)# network-object ipsec
CCNAS-ASA(config-protocol-object-group)# exit
CCNAS-ASA(config)# object-group protocol PROTO-2
CCNAS-ASA(config-protocol-object-group)# protocol-object tcp
CCNAS-ASA(config-protocol-object-group)# group-object PROTO-1
CCNAS-ASA(config-protocol-object-group)# exit
CCNAS-ASA(config)# show running-config object-group protocol
object-group protocol PROTO-1
protocol-object udp
protocol-object esp
object-group protocol PROTO-2
protocol-object tcp
group-object PROTO-1
CCNAS-ASA(config)#
ASA(config)# protocol-object
ASA(config)# group-object
ASA(config)# object-group protocol grp-name
109 Cisco ASA - 18 octobre 2015
110. Thomas Moegli
๏ Pour configurer un ICMP Object Group, utiliser la commande de configuration globale :
๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes :
๏ protocol-object
๏ group-object
ICMP Object Group
110
CCNAS-ASA(config)# object-group icmp-type ICMP-ALLOWED
CCNAS-ASA(config-icmp-object-group)# icmp-object echo
CCNAS-ASA(config-icmp-object-group)# icmp-object time-exceeded
CCNAS-ASA(config-icmp-object-group)# exit
CCNAS-ASA(config)#
CCNAS-ASA(config)# show running-config object-group id ICMP-ALLOWED
object-group icmp-type ICMP-ALLOWED
icmp-object echo
icmp-object time-exceeded
CCNAS-ASA(config)#
ASA(config)# icmp-object
ASA(config)# group-object
ASA(config)# object-group icmp-type grp-name
110 Cisco ASA - 18 octobre 2015
111. Thomas Moegli
๏ Pour configurer un Service Object Group, utiliser la commande de configuration globale :
๏ Ajouter les objets réseaux au Protocol Group en utilisant les commandes :
๏ protocol-object
๏ group-object
Service Object Group (CLI)
111
CCNAS-ASA(config)# object-group service SERVICES-1
CCNAS-ASA(config-service-object-group)# service-object tcp destination eq www
CCNAS-ASA(config-service-object-group)# service-object tcp destination eq https
CCNAS-ASA(config-service-object-group)# service-object udp destination eq nap
CCNAS-ASA(config-service-object-group)# exit
CCNAS-ASA(config)#
CCNAS-ASA(config)# object-group service SERVICES-2 tcp
CCNAS-ASA(config-service-object-group)# port-object eq pop3
CCNAS-ASA(config-service-object-group)# port-object eq smtp
CCNAS-ASA(config-service-object-group)# exit
CCNAS-ASA(config)#
CCNAS-ASA(config)# object-group service SERVICES-3 tcp
CCNAS-ASA(config-service-object-group)# group-object SERVICES-2
CCNAS-ASA(config-service-object-group)# port-object eq ftp
CCNAS-ASA(config-service-object-group)# port-object range 2000 2005
CCNAS-ASA(config-service-object-group)# exit
CCNAS-ASA(config)#
ASA(config)# service-object
ASA(config)# group-object
ASA(config)# object-group service grp-name
111 Cisco ASA - 18 octobre 2015
112. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Service Objects/Groups
Service Object Group (ASDM)
112
112 Cisco ASA - 18 octobre 2015
114. Thomas Moegli
๏ Dans les deux cas, les ACL sont composés d’un ensemble de règles ACE
๏ Les ACL sont traitées de manière séquentielle depuis le haut vers le bas
๏ Dès qu’une entrée ACE correspond, on sort de l’ACL sans consulter les règles suivantes
๏ Ils possèdent une entrée de refus par défaut à la fin de la liste
๏ Ils respectent la règle suivante : une ACL par interface, par protocole, par sens
๏ Ils peuvent être activés/désactivés selon des plages horaires définies
ACLs
Similarités entre ACL IOS et ACL ASA
114
114 Cisco ASA - 18 octobre 2015
115. Thomas Moegli
๏ Les ACL ASA utilisent un masque de sous-réseau (ex. 255.255.255.0)
๏ Les ACL IOS utilisent un masque Wildcard (ex. 0.0.0.255)
๏ Les ACL sont toujours nommées au lieu d’être simplement numérotés
๏ Les ASA ACLs peuvent être numérotés mais contrairement aux ACL IOS, les numéros n’ont aucune signification
๏ Par défaut, les niveaux de sécurité appliquent les contrôles d’accès sans configuration explicite d’ACL
ACLs
Différences entre ACL IOS et ACL ASA
115
115 Cisco ASA - 18 octobre 2015
116. Thomas Moegli
๏ Filtrage du trafic transitant par l’ASA
๏ Le trafic qui transite d’une interface à une autre est filtré par l’ASA suivant les ACL configurées
๏ Filtrage du trafic à destination de l’ASA
๏ Egalement appelé règles d’accès du trafic de Mgmt (Telnet, SSH, SNMP)
๏ Lorsque ce trafic est à destination de l’ASA, il est également régi par les règles ACL
ACLs
Fonctions des ACL
116
116 Cisco ASA - 18 octobre 2015
117. Thomas Moegli
๏ L’ASA supporte 5 types d’ACLs :
ACLs
ASA ACLs : Types
117
Type d’ACL Description
Extended
๏ ACL le plus populaire
๏ Filtrage basé sur le port source/destination et le protocole
Standard
๏ Utilisé pour les protocoles de routage, pas comme règles de firewall
๏ Ne peut s’appliquer aux interfaces pour contrôler le trafic
IPv6 ๏ Utilisé pour supporter l’adressage IPv6
Webtype ๏ Utilisé pour SSL VPN Clientless
Ethertype
๏ Spécifie le protocole de couche réseau
๏ Utilisé uniquement lorsque l’ASA est en mode transparent
117 Cisco ASA - 18 octobre 2015
118. Thomas Moegli
ACLs
ASA ACLs : Applications
118
Utilisation ACL Type d’ACL Description
Gérer le trafic inter-réseaux Extended
๏ Par défaut, l’ASA n’autorise pas le trafic provenant d’un niveau de sécurité plus faible
vers une interface ayant un niveau de sécurité plus haut sauf si explicitement autorisé
Identifier le trafic des règles AAA Extended ๏ Utilisé dans les listes d’accès AAA pour identifier le trafic
Identifier les adresses pour NAT Extended
๏ Les règles NAT permettent d’identifier le trafic local pour effectuer la translation
d’adresses
Etablissement d’un accès VPN Extended ๏ Utilisé dans les commandes VPN
Identifier le trafic Modular Policy
Framework (MPF)
Extended
๏ Utilisé pour identifier le trafic dans une Class Map, qui est utilisé dans les fonctionnalités
qui supportent MPF
Identifier la redistribution de
route OSPF
Standard
๏ Les ACL Standards n’incluent que l’adresse de destination
๏ Utilisé pour contrôler la redistribution des routes OSPF
Contrôler l’accès réseau pour les
réseaux IPv6
IPv6 ๏ Utilisé pour contrôler le trafic sur les réseaux IPv6
118 Cisco ASA - 18 octobre 2015
119. Thomas Moegli
ACLs
Extended ACL : Syntaxe
119
CCNAS-ASA(config)# help access-list
USAGE:
Extended access list:
Use this to configure policy for IP traffic through the firewall
[no] access-list <id> [line <line_num>] [extended] {deny | permit}
{<protocol> | object-group {<service_obj_grp_id> |
<protocol_obj_grp_id>} | object <service_object_name>}
[user-group [<domain_nickname>]<user_group_name> |
user [<domain_nickname>]<user_name> |
object-group-user < object_group_user_name>]
{host <sip> | <sip> <smask> | interface <ifc> | any |
object-group <network_obj_grp_id> |
object <network_obj_name>}
[<operator> <port> [<port>] |
object-group <service_obj_grp_id>]
{host <dip> | <dip> <dmask> | interface <ifc> | any |
object-group <network_obj_grp_id> |
object <network_obj_name>}
[<operator> <port> [<port>] |
object-group <service_obj_grp_id>]
[log [disable] | [<level>] | [default] [interval <secs>]]
…
119 Cisco ASA - 18 octobre 2015
120. Thomas Moegli
ACLs
Extended ACL : Syntaxe
120
access-list id extended {deny | permit} protocol
{source_addr source_mask | any | host src_host | interface src_if_name}
[operator port [port]]
{dest_addr dest_mask | any | host dst_host | interface dst_if_name}
[operator port [port]]
Nom ACL
Cela peut également être un nombre.
Protocole de couche 3
Exemple : IP, TCP, UDP
Peut également être un Protocol Object Group
Trafic source à filtrer.
Cela peut également être un Network Object Group
L’option interface est utilisé pour du trafic provenant de l’ASA
Trafic de destination à filtrer.
Cela peut également être un Network Object Group
L’option interface est utilisé pour du trafic à destination de l’ASA
L’opérateur peut être :
๏ lt (less than)
๏ gt (greater than)
๏ eq (equal)
๏ neq (not equal)
๏ range (intervalle)
Le port peut être le numéro de port, nom du port TCP/UDP ou un
Service Object Group
120 Cisco ASA - 18 octobre 2015
121. Thomas Moegli
๏ Pour le contrôle du trafic, l’ACL doit être appliqué à une interface via la commande access-group
๏ Syntaxe :
ACLs
Access-Group
121
access-group acl-id {in | out} interface interface-name
[per-user-override | control-plane]
ASA(config)# access-group
Syntaxe Description
access-group ๏ Mot-clé utilisé pour appliquer une ACL à une interface
acl-id ๏ Nom de l’ACL
in ๏ L’ACL filtre les paquets entrants
out ๏ L’ACL filtre les paquets sortants
interface ๏ Mot-clé utilisé pour spécifier l’interface à appliquer l’ACL
interface_name ๏ Nom de l’interface sur lequel appliquer l’ACL
per-user-override ๏ Option permettant de remplacer toutes les ACL de l’interface par l’ACL
control-plane ๏ Spécifie si la règle est utilisé pour du trafic vers ou provenant de l’ASA
121 Cisco ASA - 18 octobre 2015
122. Thomas Moegli
๏ L’ACL autorise tous les hôtes du réseau interne à traverser l’ASA
๏ Par défaut, tout autre trafic est refusé
ACLs
Exemples d’ACL
122
access-list ACL-IN-1 extended permit ip any any
access-group ACL-IN-1 in interface inside
access-list ACL-IN-2 extended deny tcp 192.168.1.0 255.255.255.0 host 209.165.201.228
access-list ACL-IN-2 extended permit ip any any
access-group ACL-IN-2 in interface inside
access-list ACL-IN-3 extended permit tcp 192.168.1.0 255.255.255.0 host 209.165.201.228
access-group ACL-IN-3 in interface inside
access-list ACL-IN-4 extended deny tcp any host 209.165.201.229 eq www
access-list ACL-IN-4 extended permit ip any any
access-group ACL-IN-4 in interface inside
๏ L’ACL interdit tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est autorisé
๏ L’ACL autorise tous les hôtes du réseau 192.168.1.0/24 à accéder à un hôte particulier sur l’adresse 209.165.201.228
๏ Par défaut, tout autre trafic est refusé
๏ L’ACL refuse tout accès au serveur sur l’adresse 209.165.201.229 sur le port 80 (www)
๏ Par défaut, tout autre trafic est autorisé
122 Cisco ASA - 18 octobre 2015
123. Thomas Moegli
๏ Par défaut, les interfaces avec le même niveau de confiance :
๏ Ne peuvent communiquer entre eux
๏ Les paquets ne peuvent entrer et sortir sur la même interface
๏ Pose problème avec le trafic VPN qui entre dans une interface mais est routé puis ressort de la même interface
๏ Utiliser la commande suivante permet d’activer la communication entre interfaces de même niveau de sécurité :
๏ Utiliser la commande suivante permet d’activer la communication entre hôtes connectées à la même interface :
ACLs
Communication entre interfaces de même niveau de confiance
123
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
123 Cisco ASA - 18 octobre 2015
124. Thomas Moegli
๏ Pour vérifier la syntaxe des ACL, utiliser les commandes suivantes :
๏
ACLs
Vérification des ACLs
124
show running-config access-list
show access-list
124 Cisco ASA - 18 octobre 2015
125. Thomas Moegli
๏ PC-A et PC-B sont des hôtes externes qui doivent pouvoir accéder aux deux serveurs internes
๏ Chaque serveur propose des services Web et Email
ACLs
ACL - Exemple 1
125
Internet
.131
E0/0
E0/1
.132
E0/2
209.165.202.128/27
Inside
(VLAN 1)
Serveur Web
Serveur Mail
Serveur Web
Serveur Mail
209.165.200.224/27
209.165.201.1
209.165.201.2
PC-A
PC-B
Outside
(VLAN 2)
125 Cisco ASA - 18 octobre 2015
126. Thomas Moegli
ACLs
ACL : Exemple 1
126
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server A for HTTP/SMTP
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
209.165.202.131
Serveur Web
Serveur Mail
209.165.202.132
ASA(config)# access-list ACL-IN remark Permit PC-A -> Server B for HTTP/SMTP
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq http
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq smtp
ASA(config)# access-list ACL-IN remark Permit PC-B -> Server A for HTTP/SMTP
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq http
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp
ASA(config)# access-list ACL-IN remark Permit PC-B -> Server B for HTTP/SMTP
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq http
ASA(config)# access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq smtp
ASA(config)# access-list ACL-IN remark Deny All Trafic
ASA(config)# access-list ACL-IN extended deny ip any any log
ASA(config)# access-group ACL-IN in interface outside
126 Cisco ASA - 18 octobre 2015
127. Thomas Moegli
ACLs
ACL : Exemple 1 (Vérification)
127
ASA# show running-config access-list
access-list ACL-IN remark Permit PC-A -> Server A for HTTP / SMTP
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq www
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
access-list ACL-IN remark Permit PC-A -> Server B for HTTP / SMTP
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq www
access-list ACL-IN extended permit tcp host 209.165.201.1 host 209.165.202.132 eq smtp
access-list ACL-IN remark Permit PC-B -> Server A for HTTP / SMTP
access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq www
access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp
access-list ACL-IN remark Permit PC-B -> Server B for HTTP / SMTP
access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq www
access-list ACL-IN extended permit tcp host 209.165.201.2 host 209.165.202.132 eq smtp
access-list ACL-IN extended deny ip any any log
ASA#
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580
ASA#
127 Cisco ASA - 18 octobre 2015
128. Thomas Moegli
๏ Cet exemple présente l’utilisation des Objects Groups.
๏ La topologie et la configuration des règles est identique à l’exemple 1
๏ On utilise les objets configurés pour établir les règles
๏ On configure les objets suivantes :
๏ TCP : Protocol Object Group
๏ Internet-Hosts : Network Object Group qui permet d’identifier les deux hôtes externes
๏ Internai-Servers : Network Object Group qui permet d’identifier les deux serveurs internes
๏ HTTP-SMTP : Service Object Group qui permet d’identifier les protocoles HTTP et SMTP
๏ Ces Objects Groups sont spécifiés dans une entrée ACE
๏ Tout le trafic restant est refusé et enregistré
ACLs
ACL avec Objects Groups : Exemple 2
128
128 Cisco ASA - 18 octobre 2015
129. Thomas Moegli
Création des Objects Groups
ACLs
ACL avec Objects Groups : Exemple 2
129
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
209.165.202.131
Serveur Web
Serveur Mail
209.165.202.132
ASA(config)# object-group protocol TCP
ASA(config-protocol)# description OG identifiant TCP comme protocole
ASA(config-protocol)# protocol-object tcp
ASA(config-protocol)# exit
ASA(config)#
ASA(config)# object-group network Internet-Hosts
ASA(config-network)# description OG identifie les hotes PC-A et PC-B
ASA(config-network)# network-object host 209.165.201.1
ASA(config-network)# network-object host 209.165.201.2
ASA(config-network)# exit
ASA(config)#
ASA(config)# object-group network Internal-Servers
ASA(config-network)# description OG identifie les serveurs internes
ASA(config-network)# network-object host 209.165.202.131
ASA(config-network)# network-object host 209.165.202.132
ASA(config-network)# exit
ASA(config)#
ASA(config)# object-group service HTTP-SMTP tcp
ASA(config-service)# description OG identifie le trafic HTTP/HTTPS et SMTP
ASA(config-service)# port-object eq smtp
ASA(config-service)# port-object eq www
ASA(config-service)# exit
ASA(config)#
129 Cisco ASA - 18 octobre 2015
130. Thomas Moegli
ACLs
ACL avec Objects Groups : Exemple 2
130
209.165.201.1
PC-A
PC-B
209.165.201.2
Serveur Web
Serveur Mail
209.165.202.131
Serveur Web
Serveur Mail
209.165.202.132
ASA(config)# access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config)# access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object-group Internal-Servers object-group HTTP-SMTP
ASA(config)# access-list ACL-IN extended deny ip any any log
ASA(config)#
ASA(config)# access-group ACL-IN in interface outside
ASA(config)#
ASA# show running-config access-list
access-list ACL-IN remark Permet uniquement PC-A/PC-B -> Serveurs
access-list ACL-IN extended permit object-group TCP object-group Internet-Hosts object- group Internal-Servers object-group HTTP-SMTP
ASA# show access-list ACL-IN brief
access-list ACL-IN; 9 elements; name hash: 0x44d1c580
Création de l’ACL en se basant sur les Objects Groups et application sur l’interface
Vérification ACL
130 Cisco ASA - 18 octobre 2015
133. Thomas Moegli
๏ Comme sur les routeurs IOS, l’ASA supporte les types de NAT suivants :
๏ Inside NAT
๏ Lorsque l’ASA translate les adresses des côtes internes vers des adresses globales
๏ Le trafic de retour est également géré
๏ Outside NAT
๏ Méthode utilisé lorsque du trafic d’une interface à basse sécurité vers une interface à sécurité plus élevée
๏ Cette méthode peut être utile pour rendre visible un hôte d’un réseau interne sur une adresse IP connue externe
๏ Bidirectional NAT
๏ Effectue les translations NAT Inside et Outside
ASA : Services NAT
133
133 Cisco ASA - 18 octobre 2015
134. Thomas Moegli
๏ NAT est supporté dans les modes Routed et Transparent
๏ Il existe plusieurs restrictions pour le mode Transparent
๏ Il est nécessaire de spécifier les interfaces réelles et mappées
๏ Il est impossible de spécifier « any » comme interface
๏ PAT n’est pas supporté car en mode transparent, les interfaces n’ont pas d’adresses IP et il n’est pas possible d’utiliser l’adresse
IP de management comme adresse mappée.
๏ La translation entre IPv4 et IPv6 n’est pas supportée
๏ La translation entre deux réseaux IPv6 ou entre deux réseaux IPv4 est supportée
ASA : Services NAT
NAT : Modes Routed et Transparent
134
134 Cisco ASA - 18 octobre 2015
135. Thomas Moegli
๏ En mode Routed, il est possible d’effectuer de la translation entre IPv4 et IPv6
๏ Un pool PAT n’est pas supporté pour IPv6 en mode Transparent
๏ Pour du NAT statique, il est possible de définir un sous-réseau IPv6 jusqu’à /64. Les sous-réseaux plus grands ne sont
pas supportés
ASA : Services NAT
NAT IPv6
135
135 Cisco ASA - 18 octobre 2015
137. Thomas Moegli
๏ Introduit dans la version 8.3 de l’ASA, la fonctionnalité d’Auto NAT simplifie la configuration NAT ainsi :
๏ Création d’un Network Object
๏ Identification des réseaux à translater
๏ Définir les paramètres de la commande nat
Auto NAT
137
NOTE
๏ Avant le version 8.3, NAT était configuré via les commandes nat, global et static
๏ Les commandes global et static ne sont plus reconnues
137 Cisco ASA - 18 octobre 2015
138. Thomas Moegli
๏ L’ASA sépare la configuration NAT en deux sections :
๏ La première section définit le réseau à translater via un Network Object
๏ La seconde section définit les paramètres de la commande nat
๏ Ces deux sections apparaissent à des emplacements différents sur la commande show running-config
Configuration NAT
138
ASA# show running-config
ASA(config)# object network INSIDE-NET remark Permet uniquement PC-A/PC-B -> Serveurs
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.224
ASA(config-network-object)# nat (inside,outside) dynamic interface
ASA(config-network-object)# end
ASA#
ASA# show running-config nat
!
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
ASA# show running-config object
object network INSIDE-NET
nat (inside,outside) dynamic interface
ASA#
138 Cisco ASA - 18 octobre 2015
139. Thomas Moegli
๏ Dynamic NAT
๏ Translation Many-to-Many
๏ Typiquement déployé dans Inside NAT
๏ Dynamic PAT
๏ Translation Many-to-One
๏ Généralement un pool d’adresses privées utilisés pour translater une interface externe ou une adresse externe
๏ Typiquement déployé dans Inside NAT
๏ Static NAT
๏ Translation One-to-One
๏ Généralement une adresse externe qui est mappée à un serveur interne
๏ Typiquement déployé avec Outside NAT
๏ Twice-NAT
๏ La fonction NAT de la version 8.3 permet d’identifier l’adresse source et destination en une seule règle (Commande nat)
๏ Utilisé pour la configuration IPSec et SSL Remote-Access VPN
Configuration : Types de NAT
139
139 Cisco ASA - 18 octobre 2015
140. Thomas Moegli
Pour configurer Dynamic NAT, deux Network Objects sont requis :
๏ Le premier Network Object identifie le pool d’adresses IP publiques qui seront transformés en adresses privées
๏ object network mapped-obj
๏ Nom du Network Object qui identifie le pool d’adresses publiques
๏ range ip-addr-1 ip-addr-n
๏ Définit le pool d’adresses IP publiques
๏ Le second Network Object combine le pool d’adresses IP publiques avec le sous-réseau privé et l’interface
๏ object network nat-object-name
๏ Nom de l’objet NAT combiné
๏ subnet net-address net-mask
๏ Identifie le sous-réseau privé
๏ nat (real-ifc, mapped-ifc) dynamic mapped-obj
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura une adresse assignée dynamiquement avec le
pool d’adresses IP publiques.
Configuration : Dynamic NAT
140
ASA(config)# object network mapped-obj
ASA(config)# range ip-addr-1 ip-addr-n
ASA(config)# object network nat-object-name
ASA(config)# subnet net-address net-mask
ASA(config)# nat (real-ifc, mapped-ifc) dynamic mapped-obj
140 Cisco ASA - 18 octobre 2015
142. Thomas Moegli
Pour configurer Dynamic PAT, un Network Object est requis :
๏ Dynamic PAT est utilisé lorsqu’on utilise la même adresse IP publique de sortie. Pour différencier les trafics, on utilise les
ports
๏ object network net-object-name
๏ Nom du Network Object
๏ subnet net-address net-mask
๏ Identifie le réseau privé
๏ nat (real-ifc, mapped-ifc) dynamic [interface | ip-address]
๏ Règle NAT indiquant que le trafic provenant de real-ifc vers le mapped-ifc aura l’adresse IP de l’interface ou l’adresse IP configurée
assignée après le mot-clé dynamic.
Configuration : Dynamic PAT
142
ASA(config)# object network nat-object-name
ASA(config)# subnet net-address net-mask
ASA(config)# nat (real-ifc, mapped-ifc) dynamic [interface | ip-address]
142 Cisco ASA - 18 octobre 2015
145. Thomas Moegli
Pour configurer Static NAT, un Network Object est requis :
๏ Static NAT permet de faire correspondre une adresse IP publique à une adresse IP privée
๏ object network net-object-name
๏ Nom du Network Object
๏ subnet net-address net-mask
๏ Identifie le réseau privé
๏ nat (real-ifc, mapped-ifc) static [interface | ip-address]
๏ Règle NAT faisant correspondre une adresse interne à une adresse externe.
Configuration : Static PAT
145
ASA(config)# object network nat-object-name
ASA(config)# host ip-addr
ASA(config)# nat (real-ifc, mapped-ifc) static mapped-ip-addr
NOTE
๏ Static NAT requiert qu’une ACE doit être ajouté sur l’ACL de l’interface outside
145 Cisco ASA - 18 octobre 2015
147. Thomas Moegli
Vérification : Static NAT
147
InternetE0/0
Inside
(VLAN 1)
209.165.200.224/27
Outside
(VLAN 2)
E0/1
192.168.1.0/27
DMZ
(VLAN 3)
E0/2
192.168.2.0/24
.5
.3
209.165.201.2
PC-B
ASA# show nat
Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static DMZ-SERVER 209.165.200.227
translate_hits = 0, intranslate_hits = 4
2 (inside) to (outside) source dynamic inside-nat interface
translate_hits = 4, untraslate_hits = 0
ASA# show xlate
1 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from dmz:192.168.2.3 to outside:209.165.200.227 flags s idle 0:22:58 timeout 0:00:00
ASA#
147 Cisco ASA - 18 octobre 2015
148. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
๏ La création d’un Network Object se fait via le bouton Add
Configuration NAT sur ASDM
Ajout d’un Network Object
148
148 Cisco ASA - 18 octobre 2015
149. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
๏ S’effectue lors de la création du Network Object
๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton
๏ Dans l’option Type:, sélectionner Dynamic PAT (Hide)
Configuration NAT sur ASDM
Dynamic PAT
149
149 Cisco ASA - 18 octobre 2015
150. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Objects ➔ Network Objects/Groups
๏ S’effectue lors de la création du Network Object
๏ Les paramètres de configuration NAT sont regroupés dans l’onglet NAT. Développer avec le bouton
๏ Dans l’option Type:, sélectionner Static
Configuration NAT sur ASDM
Static NAT
150
150 Cisco ASA - 18 octobre 2015
151. Thomas Moegli
๏ Configuration ➔ Firewall ➔ NAT Rules
Configuration NAT sur ASDM
Vérification des règles NAT
151
151 Cisco ASA - 18 octobre 2015
154. Thomas Moegli
๏ Contrairement aux routeurs ISR, les périphériques ASA ne supportent pas l’authentification locale sans utilisation du
protocole AAA
๏ Les périphériques ASA peuvent être configurés pour effectuer l’authentification via :
๏ Une base de donnée locale
๏ Un serveur externe
๏ Les deux
AAA sur ASA
154
154 Cisco ASA - 18 octobre 2015
155. Thomas Moegli
Authentification AAA locale
๏ Local AAA utilise une base de données locale pour l’authentification
๏ La base de données locale est configurée sur le périphérique ASA
๏ Idéal pour une petite entreprise qui ne dispose pas d’un serveur dédié
๏ Configuration - Création d’un utilisateur local :
๏ Configuration - Activation de l’authentification AAA en utilisant une base locale :
AAA sur ASA
Configuration : Authentification AAA
155
ASA(config)# username name password password [privilege priv-level]
ASA(config)# aaa authentication {enable | http | ssh | telnet} console {aaa-svr-name | LOCAL}
ASA(config)# username admin password cisco privilege 15
ASA(config)#
ASA(config)# aaa authentication enable console LOCAL
ASA(config)# aaa authentication http console LOCAL
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# aaa authentication telnet console LOCAL
ASA(config)#
155 Cisco ASA - 18 octobre 2015
156. Thomas Moegli
๏ Authentification AAA avec serveur dédié
๏ L’authentification AAA basé sur un serveur dédié est une solution plus extensible
๏ Utilisation d’une base de données externe
๏ Pour communiquer entre le périphérique ASA et la base externe, on utilise les protocoles RADIUS et TACACS+
๏ Configuration du périphérique ASA pour communiquer avec un serveur externe :
๏ Création d’un groupe de serveurs RADIUS ou TACACS+ :
๏ Configuration d’un lien vers un serveur AAA et ajout dans ce groupe :
๏ Configuration - Activation de l’authentification AAA en utilisant un groupe de serveurs AAA :
AAA sur ASA
Configuration : Authentification AAA
156
ASA(config)# aaa-server server-tag protocol protocol
ASA(config)# aaa-server server-tag [(interface-name)] host {server-ip | name} [key password]
ASA(config)# aaa authentication {enable | http | ssh | telnet} console server-tag
156 Cisco ASA - 18 octobre 2015
157. Thomas Moegli
๏ Configuration de l’authentification AAA via un serveur TACACS+ ainsi qu’une authentification locale
๏ L’authentification locale est utilisé uniquement si le serveur TACACS+ est indisponible
AAA sur ASA
Configuration : Authentification AAA
157
ASA(config)# username admin password cisco privilege 15
ASA(config)#
ASA(config)# aaa-server TACACS-SVR protocol tacacs+
ASA(config-aaa-server-group)# aaa-server TACACS-SVR (dmz) host 192.168.1.2 key cisco123
ASA(config-aaa-server-group)# exit
ASA(config)#
ASA(config)# show run aaa-server
aaa-server TACACS-SVR protocol tacacs+
aaa-server TACACS-SVR (dmz) host 192.168.1.2 key *****
ASA(config)#
ASA(config)# aaa authentication http console TACACS-SVR LOCAL
ASA(config)# aaa authentication ssh console TACACS-SVR LOCAL
ASA(config)# aaa authentication telnet console TACACS-SVR LOCAL
ASA(config)# aaa authentication enable console TACACS-SVR LOCAL
ASA(config)#
157 Cisco ASA - 18 octobre 2015
158. Thomas Moegli
๏ Se déconnecter puis se reconnecter
๏ Commandes de vérification :
๏ show running-conf username : Commande pour voir tous les comptes utilisateur
๏ show running-conf aaa : Commande pour voir la configuration AAA
๏ Pour effacer toute la configuration AAA, utiliser la commande clear config aaa
AAA sur ASA
Vérification : Authentification AAA
158
ASA# show run aaa
aaa authentication http console TACACS-SVR LOCAL
aaa authentication ssh console TACACS-SVR LOCAL
aaa authentication telnet console TACACS-SVR LOCAL
aaa authentication enable console TACACS-SVR LOCAL
ASA# disable
ASA> exit
Username: admin
Password: *****
Type help or '?' for a list of available commands.
ASA>
ASA# clear config aaa
ASA# show running-conf username
ASA# show running-conf aaa
158 Cisco ASA - 18 octobre 2015
159. Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ Users Accounts
๏ L’ajout d’utilisateurs se fait via le bouton Add
Configuration AAA via ASDM
Ajout d’utilisateurs dans la base de données locale
159
159 Cisco ASA - 18 octobre 2015
160. Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups
๏ La création d’un groupe se fait dans la section AAA Server Group, via le bouton Add
Configuration AAA via ASDM
Création d’un AAA Server Group
160
160 Cisco ASA - 18 octobre 2015
161. Thomas Moegli
๏ Configuration ➔ Device Management ➔ Users/AAA ➔ AAA Server Groups
๏ La création d’un groupe se fait dans la section Servers in the Selected Group via le bouton Add
๏ Les paramètres de configuration RADIUS ou TACACS+ s’affichent selon le protocole indiqué à la création du Server
Group
Configuration AAA via ASDM
Ajout d’un serveur au Server Group
161
161 Cisco ASA - 18 octobre 2015
162. Thomas Moegli
๏ Configuration ➔ Firewall ➔ Users/AAA ➔ AAA Access ➔ Authentication
Configuration AAA via ASDM
Activation de l’authentification AAA
162
162 Cisco ASA - 18 octobre 2015
164. Thomas Moegli
๏ MPF définit un ensemble de règles pour configurer des fonctionnalités comme par ex. inspection de trafic et QoS au
trafic qui traverse l’ASA
๏ Permet la classification des flux de trafic et l’application de différentes policies aux flux
๏ Cisco MPF utilise trois objets de configuration pour définir les règles :
๏ Class Maps
๏ Définit les critères pour identifier le trafic avec la commande class-map
๏ Policy Maps
๏ Associe des actions au trafic identifié par la Class Map avec la commande policy-map
๏ Service Policies
๏ Rattache les Class et Policy Maps à une interface ou globalement sur toutes les interfaces avec la commande service-policy
Modular Policy Framework (MPF)
164
Class Maps Policy Maps Service Policy
164 Cisco ASA - 18 octobre 2015
165. Thomas Moegli
Class Maps
• Qu’est ce qu’on
analyse ?
• Identifie le trafic sur
lequel appliquer MPF
• Création d’une Class
Maps de couche 3/4
avec un ou plusierus
critères
Policy Maps
• Quelles sont les
actions à appliquer ?
• Création d’une règle
pour le trafic de la
couche 3 à la couche 7
• Création d’une Policy
map contenant
plusieurs Class Maps
avec leurs actions
associées
Service Policy
• Ou ces règles doivent
être appliquées ?
• Activation de la Policy
Map sur les interfaces
• Création d’une Service
Policy qui s’applique à
une Policy Maps et une
interface ou sur toutes
les interfaces
Modular Policy Framework (MPF)
165
class-map class-name policy-map policy-name service-policy serv-name
interface intf-name
165 Cisco ASA - 18 octobre 2015
166. Thomas Moegli
๏ Configuration d’une ACL Extended pour identifier le trafic
๏ Configurer la Class Map pour identifier le trafic à l’aide de l’ACL configurée précédemment
๏ Configurer la Policy Map pour appliquer les actions à ces Class Maps
๏ Configurer la Service Policy pour rattacher la Policy Map à une interface
Modular Policy Framework (MPF)
4 étapes pour configurer MPF sur un ASA
166
ASA(config)# access-list TFTP-TRAFFIC permit udp any any eq 69
ASA(config)#
ASA(config)# class-map CLASS-TFTP
ASA(config-cmap)# match access-list TFTP-TRAFFIC
ASA(config-cmap)# exit
ASA(config)#
ASA(config)# policy-map POLICY-TFTP
ASA(config-pmap)# class CLASS-TFTP
ASA(config-pmap-c)# inspect tftp
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
ASA(config)#
ASA(config)# service-policy POLICY-TFTP global
ASA(config)#
166 Cisco ASA - 18 octobre 2015
167. Thomas Moegli
๏ Une Class Map permet d’identifier le trafic de couche 3 et couche 4
๏ Pour créer une Class Map, utiliser la commande class-map class-map-name.
๏ On passe en mode de configuration Class-Map
๏ Le nom class-default et tout nom qui commence par _internal ou _default sont réservés et ne peuvent être utilisés
๏ Le nom de la Class Map doit être unique et ne peut dépasser 40 caractères
Modular Policy Framework (MPF)
Class Maps
167
NOTE
๏ Pour le trafic de management à destination de l’ASA, on utilise la commande
class-map type management class-map-name
167 Cisco ASA - 18 octobre 2015
168. Thomas Moegli
๏ En mode de configuration Class Maps, les options de configuration sont :
๏ description : Ajout d’une description à la Class Map
๏ match any : Class Map qui identifie tout le trafic
๏ match access-list access-list-name : Class Map qui identifie le trafic spécifié par une ACL Extended
๏ Pour afficher la configuration d’une Class Map, utiliser la commande
Modular Policy Framework (MPF)
Class Maps : Mode de configuration
168
description
match any
match access-list access-list-name
show running-config class-map
168 Cisco ASA - 18 octobre 2015
169. Thomas Moegli
๏ Une Policy Map permet de combiner le trafic identifié par une Class Map avec une action
๏ Etapes
๏ Utilisation de la commande de configuration globale
๏ Le nom de la Policy map doit être unique et ne comporter pas plus de 40 caractères
๏ On passe en mode de configuration Policy Map (config-pmap)
๏ En mode config-pmap, configurer les options :
๏ description : Ajout d’une description à la Policy Map
๏ class : Identifie une Class Map sur laquelle appliquer les actions. (Entre en sous-mode de config)
๏ Assigner les actions pour la classe :
๏ set connection : Définit les valeurs de connexion
๏ inspect : Vérifie le trafic au niveau protocole
๏ police : Définit une limitation de bande passante sur ce trafic
Modular Policy Framework (MPF)
Policy Maps
169
description
class
set connection
inspect
police
169 Cisco ASA - 18 octobre 2015
170. Thomas Moegli
๏ Pour afficher les informations sur une configuration Policy Map, utiliser la commande :
show running-config policy-map
๏ Pour supprimer toutes les Policy Maps, utiliser la commande suivante :
Modular Policy Framework (MPF)
Policy Maps : Vérification
170
show running-config policy-map
clear configure policy-map
170 Cisco ASA - 18 octobre 2015
171. Thomas Moegli
๏ Pour activer une Policy Map sur toutes les interfaces ou sur une interface particulière, on utilise une Service Policy qui
se configure avec la commande service-policy
๏ Syntaxe :
Modular Policy Framework (MPF)
Service Policy
171
ASA(config)# service-policy policy-map-name [global | interface intf]
ASA(config)# service-policy
171 Cisco ASA - 18 octobre 2015
172. Thomas Moegli
๏ Pour afficher la configuration des Service Policies, utiliser la commande show service-policy ou
show running-config service-policy
๏ Pour supprimer tous les Service Policies configurés, utiliser la commande clear configure service-policy
Modular Policy Framework (MPF)
Service Policy : Vérification
172
ASA# show service-policy
ASA# show running-config service-policy
ASA# clear configure service-policy
172 Cisco ASA - 18 octobre 2015
173. Thomas Moegli
๏ MPF propose trois paramètres par défaut :
๏ Default Class map
๏ Default Policy map
๏ Default Service policy
๏ La configuration inclut également une Class Map par défaut pour le trafic de couche 3/4 que l’ASA utilise par défaut .
Cette class-map est appelée inspection_default
๏ class-map inspection_default
๏ match default-inspection-traffic
Modular Policy Framework (MPF)
Default Class Map
173
class-map inspection_default
match default-inspection-traffic
173 Cisco ASA - 18 octobre 2015
174. Thomas Moegli
๏ La configuration inclut une Policy Map de couche 3/4 par défaut que l’ASA utilise par défaut. Cette Policy Map est
appelée global_policy et effectue de l’inspection sur plusieurs protocoles usuels (DNS, FTP, …)
๏ Il ne peut y avoir qu’une seule Policy globale
Modular Policy Framework (MPF)
Default Policy Map
174
174 Cisco ASA - 18 octobre 2015
175. Thomas Moegli
๏ Par défaut, l’ASA contient un Service Policy global qui utilise la Policy Map par défaut présentée précédemment
๏ Ce Service Policy s’applique sur toutes les interfaces
๏ Pour modifier la Policy globale, l’administrateur doit aller éditer cette Default Policy, ou la désactiver et appliquer une
nouvelle Policy
Modular Policy Framework (MPF)
Default Service Policy
175
175 Cisco ASA - 18 octobre 2015