La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - ASA7.x/PIX 6.x et plus

Publié parMarc-Antoine Piché Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Sécurité - ASA7.x/PIX 6.x et plus"— Transcription de la présentation:

1 Sécurité - ASA7.x/PIX 6.x et plus
- Configurer le blocage et l'ouverture de ports ccnp_cch

2 Sommaire ● Introduction ● Configuration
- Prérequis Composants utilisés Schéma du réseau - Produits liés ● Configuration - Schéma du réseau - Configuration du blocage de ports Configuration de l'ouverture de ports ● Vérification ccnp_cch

3 Introduction Ce document fournit un exemple de configuration sur comment ouvrir ou fermer des ports pour différents types de trafic tels http ou ftp dans l'appliance de sécurité. Note: les termes "ouverture de port" et "autoriser le port" ont la même signification. De manière similaire, "bloquer le port" et "restreindre le port" ont également la même signification. Prérequis Ce document suppose que le PIX/ASA est configuré et fonctionne correctement. Composants utilisés Les informations contenues dans ce document sont basées sur Cisco Adaptive Secu- rity Appliance 5500 series qui opère avec la version 7.2(1). Produits liés Cette configuration peut être aussi utilisée avec l'appliance Cisco PIX série 500 et la version logicielle 6.2 et supérieures. Configuration Chaque interface doit avoir un niveau de sécurité 0 (le plus bas) à 100 (le plus élevé). Par exemple, vous devez affecter le niveau 100 à votre réseau le plus sécurisé (votre réseau interne). Tandis que le réseau externe qui est connecté à Internet peut avoir le niveau 0, les autres réseaux telles les DMZs peuvent avoir des niveaux intermédiai- res. Vous pouvez affecter plusieurs interfaces au même niveau de sécurité. Par défaut, tous les ports sont bloqués sur l'interface externe (niveau de sécurité 0) et tous les ports sont ouverts sur l'interface interne ( niveau de sécurité 100) de l'appli- ance de sécurité. De cette manière, tout le trafic sortant peut passer au travers de l'appliance de sécurité sans aucune configuration mais le trafic entrant peut être au- torisé par les commandes de configuration static et access-list dans l'appliance de sécurité. Note: En général, tous les ports sont bloqués de la zone de sécurité la plus basse vers la zone de sécurité la plus élevée et tous les ports sont ouverts de la zone de sécurité la plus élevée vers la zone de sécurité la plus basse faisant en sorte que l'inspection stateful soit validée pour les trafics entrant et sortant. Cette section contient les sous-sections: ● Schéma du réseau ● Blocage des ports ● Ouverture des ports ccnp_cch

4 Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau .10 (réelle) (mappée) FTP DMZ Internet /24 /27 Inside SMTP DNS HTTPS HTTP /27 Outside .1 (réelle) (mappée) (réelle) (mappée) (réelle) (mappée) (réelle) (mappée) Configuration du blocage des ports L'appliance de sécurité autorise tout trafic sortant sauf si celui-ci est explicitement bloqué par une liste d'accès étendue. Une liste d'accès est constituée d'une ou plusieurs Access Control Entries. Selon le ty- pe de liste d'accès, vous pouvez spécifier les adresses source et destination, le protoco- le, les ports (TCP ou UDP), le type (ICMP) ou l'EtherType. Note: Pour les protocoles en mode non-connecté tel ICMP, l'appliance de sécurité éta- blit des sessions unidirectionnelles aussi vous aurez besoin de listes d'accès pour au- toriser ICMP dans les deux directions (en appliquant des listes d'accès aux interfaces source et destination) ou vous aurez à valider le moteur d'inspection ICMP. Le moteur d'inspection ICMP traite les sessions ICMP comme des liaisons bidirectionnelles. Exécutez ces étapes pour bloquer les ports lesquelles s'appliquent usuellement au tra- fic qui est issu de l'intérieur (zone de sécurité élevée) vers la DMZ (zone de sécurité plus basse) ou de la DMZ vers l'extérieur. ccnp_cch

5 Configuration de l'ouverture des ports
1. Créez une liste de contrôle d'accès de telle manière que vous bloquez le trafic pour le port spécifié. access−list <name> deny <protocol> <source−network/source IP> <source−netmask> <destination−network> <destination−netmask> eq <port number> access−list <name> permit ip any any Ensuite liez l'access-list avec la commande access-group pour qu'elle soit active access−group <access list name> in interface <interface name> Exemples: Bloquer le trafic du port HTTP : Dans le but de bloquer l'accès http (serveur web) à l'adresse IP placé dans le réseau de la DMZ depuis le réseau interne , créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp host eq 80 ciscoasa(config)#access−list 100 extended permit ip any any ciscoasa(config)#access−group 100 in interface inside Note: utilisez no suivi des commandes access-list pour retirer le blocage de port Bloquer le trafic du port FTP : Dans le but de bloquer l'accès ftp (serveur ftp) à l'adresse IP placé dans le réseau de la DMZ depuis le réseau interne , créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp host eq ftp Configuration de l'ouverture des ports L'appliance de sécurité n'autorise aucun trafic entrant à moins que celui-ci soit expli- citement permis par une liste d'accès étendue. Si vous voulez autoriser un host externe à accéder à un host interne, vous pouvez ap- pliquer une liste d'accès sur l'interface externe. Vous devez spécifier l'adresse traduite du host interne dans la liste d'accès car l'adresse traduite est l'adresse qui est utilisée sur le réseau externe. Exécutez ces étapes pour ouvrir les ports de la zone de sécurité la plus basse vers la plus élevée. Par exemple autoriser le trafic depuis l'extérieur (zone de sécurité la plus basse) vers l'interface interne (zone de sécurité la plus élevée) ou de la DMZ vers l'in- terface interne. ccnp_cch

6 1. Le NAT statique crée une traduction fixe entre une adresse réelle et une adresse mappée. Cette adresse mappée est une adresse publique Internet utilisée pour ac céder au serveur d'application dans la DMZ sans avoir à connaître l'adresse réelle du serveur static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access−list access_list_number} 2. Créez une ACL pour permettre le trafic sur le port spécifié access−list <name> permit <protocol> <source−network/source IP> <source−netmask> <destination−netwok/destination IP> <destination−netmask> eq <port number> 3. Liez la liste d'accès avec la commande access-group pour qu'elle soit active. access−group <access−list name> in interface <interface name> Exemples: Ouvrir le trafic pour le port SMTP: Ouvrir le port 25 pour autoriser les hosts ex ternes (Internet) à accéder au serveur mail placé dans le réseau de la DMZ La commande static fait correspondre l'adresse externe à l'adresse réelle DMZ ciscoasa(config)#static (DMZ,Outside) netmask ciscoasa(config)#access−list 100 permit tcp any host eq 25 ciscoasa(config)#access−group 100 in interface outside 2. Ouvrir le trafic pour le port HTTPS: Ouvrir le port tcp 443 pour autoriser les hosts externes (Internet) à accéder au serveur web (sécurisé) placé dans le réseau de la DMZ ciscoasa(config)#static (DMZ,Outside) ciscoasa(config)#access−list 100 permit tcp any host eq 443 3. Autoriser le trafic DNS: Ouvrir le port udp 53 pour autoriser les hosts externes (Internet) à accéder au serveur DNS (sécurisé) placé dans la DMZ ciscoasa(config)#static (DMZ,Outside) ciscoasa(config)#access−list 100 permit udp any host eq 53 ccnp_cch

7 Vérification Vous pouvez vérifier la configuration avec les commandes show suivantes: ● show xlate - Affiche les informations sur les traductions courantes. ● show access−list - Affiche les listes d'accès avec les compteurs de passage ● show logging - Affiche les logs présents dans le buffer. ccnp_cch

Télécharger ppt "Sécurité - ASA7.x/PIX 6.x et plus"

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
– NAT et PAT - 1.

– NAT et PAT - 1.
Liste de contrôle d’accès

Liste de contrôle d’accès
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Configuration PIX avec deux Routeurs

Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un

Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77

Présentations similaires

Annonces Google