La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Publié parClaude Métivier Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec"— Transcription de la présentation:

1 Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
ccnp_cch

2 Sommaire ● Introduction ● Vérification ● Résolution de problèmes
- Prérequis - Composants utilisés ● Configuration - Schéma du réseau Configurations ● Vérification ● Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

3 Introduction Ce document fournit un exemple de configuration pour la synchronisation de l'horloge du pare-feu PIX avec un serveur de temps en réseau utilisant NTP (Network Time Pro- tocol). PIX1 communique directement avec le serveur de temps, PIX2 passe le trafic NTP dans un tunnel IPSec vers PIX1 qui à son tour achemine le trafic vers le serveur de temps. Prérequis Avant de tenter cette configuration, assurez-vous d'avoir les prérequis suivants: ● La connectivité IPSec de bout en bout doit être établie avant de commencer la con- figuration NTP. ● Le support NTP a été ajouté dans la version 6.2 du PIX. Le pare-feu PIX doit opérer avec la version 6.2 ou suivante ● La licence du pare-feu PIX doit être validée pour DES (Data Encryption Standard). Composants utilisés Les informations contenues dans ce document sont basées sur Cisco PIX Firewall Software Release 6.3(3). Configuration Dans cette section sont présentées les informations utilisées pour la configuration des fonctionnalités décrites dans ce document. Schéma du Réseau PIX 2 PIX 1 Internet Serveur NTP ccnp_cch

4 ccnp_cch Configurations PIX 1 PIX Version 6.3(3)
interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz0 security10 enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pix1 domain−name cisco.com fixup protocol dns maximum−length 512 fixup protocol ftp 21<br>fixup protocol h323 h fixup protocol h323 ras 1718−1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access−list nonat permit ip host access−list ipsec permit ip host pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz0 1500 ip address outside ip address inside no ip address dmz0 ip audit info action alarm ip audit attack action alarm ccnp_cch

5 ccnp_cch no failover failover timeout 0:00:00 failover poll 15
no failover ip address outside no failover ip address inside no failover ip address dmz0 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access−list nonat nat (inside) route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius aaa−server LOCAL protocol local ntp authentication−key 1 md5 ******** ntp trusted−key 1 ntp server key 1 source inside no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps floodguard enable fragment chain 1 sysopt connection permit−ipsec crypto ipsec transform−set vpn esp−3des esp−md5−hmac crypto map cisco 10 ipsec−isakmp crypto map cisco 10 match address ipsec crypto map cisco 10 set peer crypto map cisco 10 set transform−set vpn crypto map cisco interface outside isakmp enable outside isakmp key ******** address netmask isakmp keepalive 10 ccnp_cch

6 ccnp_cch isakmp policy 10 authentication pre−share
isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:bf28afe92a93af6170d8de380afeb424 : end PIX 2 PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pix2 domain−name vpn.cisco.com fixup protocol dns maximum−length 512 fixup protocol ftp 21 fixup protocol h323 h fixup protocol h323 ras 1718−1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access−list ipsec permit ip host pager lines 24 logging on ccnp_cch

7 ccnp_cch logging buffered debugging mtu outside 1500 mtu inside 1500
ip address outside ip address inside ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius aaa−server RADIUS (inside) host cisco timeout 10 aaa−server LOCAL protocol local ntp authentication−key 1 md5 ******** ntp trusted−key 1 ntp server key 1 source outside no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps floodguard enable sysopt connection permit−ipsec crypto ipsec transform−set vpn esp−3des esp−md5−hmac crypto map cisco 10 ipsec−isakmp crypto map cisco 10 match address ipsec crypto map cisco 10 set peer crypto map cisco 10 set transform−set vpn crypto map cisco interface outside isakmp enable outside isakmp key ******** address netmask isakmp identity address ccnp_cch

8 Vérification ccnp_cch isakmp policy 10 authentication pre−share
isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:26d03e15146cf920b3d7ab61eaf75905 : end [OK] pix2(config)# Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. ● show ntp status - Affiche les informations d'horloge NTP. pix1#show ntp status Clock is synchronized, stratum 9, reference is nominal freq is Hz, actual freq is Hz, precision is 2**6 reference time is af99ca9d.ab979ef4 (06:47: UTC Tue May ) clock offset is − msec, root delay is 1.04 msec root dispersion is msec, peer dispersion is msec ● show ntp associations [detail] - Affiche les associations de temps réseau configu rées. pix1#show ntp associations detail configured, authenticated, our_master, sane, valid, stratum 8 ref ID , time af99cb13.44a14229 (06:49: UTC Tue May 11 1993) our mode client, peer mode server, our poll intvl 64, peer poll intvl 64 root delay 0.00 msec, root disp 0.03, reach 17, sync dist delay 1.07 msec, offset − msec, dispersion precision 2**18, version 3 org time af99cb1d.53083e9b (06:50: UTC Tue May ) rcv time af99cb1d.a2d2a9b5 (06:50: UTC Tue May ) xmt time af99cb1d.a27b176f (06:50: UTC Tue May ) filtdelay = filtoffset = − −30.13 −27.39 − filterror = ccnp_cch

9 Résolution de problèmes
Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. Commandes pour résolution de problèmes ● debug ntp validity - Affiche la validité NTP par horloge. Ceci est la sortie de debug lors d'une non correspondance de clés: NTP: packet from failed validity tests 10 Authentication failed ● debug ntp packet - Affiche les informations des paquets NTP. Quand il n'y a pas pas de réponse du serveur, seul les paquets xmit NTP sont vus sur le PIX mais pas le paquets NTP rcv. NTP: xmit packet to : leap 0, mode 3, version 3, stratum 9, ppoll 64 rtdel 0077 (1.816), rtdsp 3e290 ( ), refid 0a ( ) ref c3390a82.f50ac415 (12:16: UTC Thu Oct ) org c3390a82.f70e3cc7 (12:16: UTC Thu Oct ) rec c3390a82.f50ac415 (12:16: UTC Thu Oct ) xmt c3390ac2.f (12:17: UTC Thu Oct ) NTP: rcv packet from to on ntp0: leap 0, mode 4, version 3, stratum 8, ppoll 64 rtdel 0000 (0.000), rtdsp 0002 (0.031), refid 7f7f0701 ( ) ref c3390ac (12:17: UTC Thu Oct ) org c3390ac2.f (12:17: UTC Thu Oct ) rec c3390ac2.f8c541ec (12:17: UTC Thu Oct ) xmt c3390ac2.f8d6f76f (12:17: UTC Thu Oct ) inp c3390ac3.5d1f1568 (12:17: UTC Thu Oct ) ccnp_cch

Télécharger ppt "Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec"

Présentations similaires

Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale.

Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Client VPN SSL avec ASDM

Client VPN SSL avec ASDM
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.

Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM

Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.

Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs

Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Configuration du PIX/ASA Authentification étendue

Configuration du PIX/ASA Authentification étendue
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
PIX/ASA 7.x - Configuration Relais DHCP

PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77

Présentations similaires

Annonces Google