Sécurité - Configuration du PIX avec un seul réseau interne ccnp_cch
Sommaire ● Introduction ● Configuration - Prérequis - Composants utilisés ● Configuration - Schéma du réseau - Configurations ● Résolution de problèmes - Commandes pour résolution de problèmes ● Résolution de problèmes communs ccnp_cch
Introduction Cet exemple de configuration montre comment configurer un pare-feu PIX Cisco pour séparer un réseau d'entreprise d'Internet Prérequis Le réseau interne à un serveur Web, un serveur mail et un serveur FTP que les utili- sateurs Internet peuvent atteindre. Tous les autres accès vers des hosts du réseau in- terne par des utilisateurs externes sont interdits. ● Adresse du serveur Web - 192.168.1.4; Adresse Internet 204.69.198.3 ● Adresse du serveur Web - 192.168.1.15; Adresse Internet 204.69.198.4 ● Adresse du serveur Web - 192.168.1.10; Adresse Internet 204.69.198.5 Tous les utilisateurs du réseau interne ont un accès Internet non restreint. Les utili- sateurs internes sont autorisés à "pinguer" des équipements sur Internet mais les uti- lisateurs Internet ne sont pas autorisés à "pinguer" des équipements sur le réseau in- terne. Cette société a acheté une adresse de réseau de classe C à son FAI (204.69.198.x). Les adresses 204.69.198.1 et 204.69.198.2 sont réservées respectivement au routeur ex- terne et à l'interface externe du PIX. Les adresses 204.69.198.3 à 5 sont utilisées pour les serveurs internes accessibles par les utilisateurs Internet. Les adresses suivantes sont réservées pour un usage futur: 204.69.198.6 à 14. Le pare-feu PIX de cet exemple a quatre interfaces réseau mais deux seulement sont utilisées pour transmettre les messages syslog vers un serveur syslog sur le réseau interne avec l'adresse IP 192.168.1.220 (non représenté sur le schéma ci-après). Composants utilisés Cette configuration a été réalisée et testée en utilisant les versions matérielles et logicielles suivantes: ● Routeur Cisco 3640 ● IOS Cisco release 12.1(21) ● Cisco PIX Firewall 535 ● Cisco PIX Firewall Logiciel Release 6.3(3) ccnp_cch
Configuration Configurations ccnp_cch Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Utilisateurs internes 204.69.198.2 Outside 192.168.1.1 Inside 204.69.198.1 Passerelle Serveur Web 192.168.1.4 Internet 204.69.198.0/24 Serveur Mail 192.168.1.15 PIX Routeur passerelle Serveur FTP 192.168.1.10 192.168.1.0/24 Configurations Cisco PIX Firewall Building configuration... : Saved : PIX Version 5.3(1) nameif gb−ethernet0 outside security0 nameif gb−ethernet1 inside security100 nameif ethernet0 intf2 security10 nameif ethernet1 intf3 security15 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 names ccnp_cch
ccnp_cch !−−− Crée une liste d'accès pour autoriser ping en sortie !−−− et le retour des paquets. access−list 100 permit icmp any any echo−reply access−list 100 permit icmp any any time−exceeded access−list 100 permit icmp any any unreachable !−−− Permet aux utilisateurs Internet de connecter !−−− aux serveurs web, mail et FTP. access−list 100 permit tcp any host 204.69.198.3 eq www access−list 100 permit tcp any host 204.69.198.4 eq smtp access−list 100 permit tcp any host 204.69.198.5 eq ftp pager lines 24 !−−− Valide le logging. logging on no logging timestamp no logging standby no logging console no logging monitor !−−− Permet la sauvergarde des messages d'erreur !−−− dans un buffer local. logging buffered errors !−−− Envoi des notifications (traps) vers un !−−− serveur Syslog. logging trap notifications no logging history logging facility 20 logging queue 512 !−−− Envoi des messages syslog à un serveur Syslog !−−− sur l'interface interne. logging host inside 192.168.1.220 !−−− Toutes les interfaces sont "shutdown" par défaut si elles !--- ne sont pas configurées. interface gb−ethernet0 1000auto interface gb−ethernet1 1000auto interface ethernet0 auto shutdown interface ethernet1 auto shutdown mtu outside 1500 mtu inside 1500 mtu intf2 1500 mtu intf3 1500 ip address outside 204.69.198.2 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0 ip address intf2 127.0.0.1 255.255.255.255 ip address intf3 127.0.0.1 255.255.255.255 ip audit info action alarm ip audit attack action alarm no failover ccnp_cch
ccnp_cch failover timeout 0:00:00 failover poll 15 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 failover ip address intf2 0.0.0.0 failover ip address intf3 0.0.0.0 arp timeout 14400 !−−− Définit un pool NAT (Network Address Translation) !−−− utilisé par les hosts internes pour aller sur Internet. global (outside) 1 204.69.198.15−204.69.198.253 !−−− Définit une adresse PAT (Port Address Translation) qui sera !−−− utilisée quand le pool NAT n'aura plus d'adresse libre. global (outside) 1 204.69.198.254 !−−− Permet à tous les hosts d'utiliser les adresses !−−− NAT ou PAT spécifiées ci-dessus. nat (inside) 1 0.0.0.0 0.0.0.0 0 0 !−−− Définit une traduction statique pour le serveur web !−−− interne pour qu'il soit accessible depuis Internet. static (inside,outside) 204.69.198.3 192.168.1.4 netmask 255.255.255.255 0 0 !−−− Définit une traduction statique pour le serveur mail static (inside,outside) 204.69.198.4 192.168.1.15 !−−− Définit une traduction statique pour le serveur FTP static (inside,outside) 204.69.198.5 192.168.1.10 !−−− Applique la liste d'accès 100 à l' interface externe. access−group 100 in interface outside !−−− Définit une route par défaut vers le routeur du FAI. route outside 0.0.0.0 0.0.0.0 204.69.198.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps ccnp_cch
Résolution de problèmes floodguard enable no sysopt route dnat isakmp identity hostname !−−− Permet au host 192.168.1.254 de faire un accès Telnet !−−− sur l'interface interne du PIX. telnet 192.168.1.254 255.255.255.255 inside telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:3e7ba2f76bf9a6b42ff656d31ebda5c5 : end [OK] Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour ré- soudre des problèmes liés à votre configuration. ● show interface − Affiche les statistiques d'interface. ● show traffic − Montre le volume de trafic passant à travers le PIX. ● show xlate − Affiche les traductions NAT courante construites par le PIX. ● show conn − Affiche les connexions courantes à travers le PIX. Commandes pour résolution de problèmes ● debug icmp trace − Affiche tous les messages Echo Request et Echo reply de ICMP (Internet Control Message Protocol) vers ou à travers le PIX. Résolution de problèmes communs 1. Le pool NAT ( et l'adresse PAT - à l'exception de l'interface PAT) doit utiliser des adresses IP qui ne doivent pas être utilisées par d'autres équipements sur le réseau. Ceci inclut les adresses statiques (pour la traduction) ou les adresses utilisées sur les interfaces. Si vous avez une version logicielle 5.2 ou suivante du PIX, l'adresse de l'interface externe peut être utilisée pour PAT. Ceci est très utile si vous avez une seule adres- se externe disponible ou si vous avez besoin d'économiser de l'espace d'adressage. Pour valider PAT sur l'adresse de l'interface externe, retirez le pool NAT global et l'adresse PAT de la configuration et utilisez l'adresse IP de l'interface externe comme adresse PAT. ip address outside 204.69.198.2 nat (inside) 1 0 0 global (outside) 1 interface ccnp_cch
Note : Quelques applications multimédia peuvent entrer en conflit avec les corres- pondances fournies par PAT. PAT ne fonctionne pas avec la commande established. PAT fonctionne avec DNS (Domain Name Service), FTP et FTP passif, HHTP, email, rshell, RPC (Remote Procedure Call), Telnet, filtrage d'URL sur traçage de route sor- tant. Plusieurs versions de PIX supportent H323 avec PAT. Le support H.323v2 avec PAT a été ajouté dans la version 6.2.2 tandis que le support H.323v3 et v4 avec PAT a été ajouté dans la version 6.3. ● Vous devez avoir une liste d'accès (ou un conduit) pour permettre l'accès à vos ser- veurs. L'accès entrant n'est pas permis par défaut. Note : La commande conduit a été supplantée par la commande access-list. Cisco vous recommande de migrer votre configuration pour retirer la commande conduit afin d'assurer une compatibilité future. ● A la fin de toute liste d'accès il y a une instruction implicite deny ip any any. ● Si le serveur DNS est à l'extérieur du PIX et que les utilisateurs internes veulent accéder aux serveurs internes avec leurs noms DNS alors la commande alias doit être utilisée pour obtenir la réponse du serveur DNS. ● Si vous avez toujours des problèmes après avoir passé en revue ces problèmes com- muns, essayez de suivre ces étapes : 1. Vérifiez que vous avez la connectivité IP entre les deux équipements. pour réali- ser cela, entrez sur le PIX avec la console ou connectez-vous au PIX par Telnet et entrez la commande terminal monitor puis la commande debug ip icmp trace. 2. Si les utilisateurs internes ont des difficultés à accéder aux serveurs sur Internet, exécutez une commande ping à destination du serveur et regardez si vous obte- nez une réponse. Si vous ne recevez pas de réponse, regardez la sortie de la com- mande debug et assurez-vous que vous voyez les messages ICMP Echo request sortir du PIX. Si vous ne voyez pas les ICMP Echo request alors vérifiez la passe- relle par défaut configurée sur la machine source. Celle-ci doit être l'adresse du PIX. Utilisez également nslookup sur le client et assurez-vous qu'il peut résoudre l'adresse IP sur le serveur que vous essayez de joindre. 3. Quand vous avez la connectivité IP, arrêtez la commande debug icmp trace et entrez la commande logging console debug (si vous êtes connecté par la conso- le) ou la commande logging monitor debug (si vous êtes connecté au PIX par Telnet). Ceci permet au messages syslog d'être affichés sur votre écran. Ensuite tentez de vous connecter au serveur et examinez les logs si du trafic est rejeté. Si cela est le cas, les logs doivent vous donner une bonne idée de ce qui se passe. Vous pouvez également regarder la description des messages de log. 4. Si des utilisateurs externes ne peuvent pas accéder à vos serveurs internes, véri- fiez la syntaxe de votre commande static et vérifiez que vous avez permis l'accès avec l'instruction access-list et que vous avez appliqué la liste d'accès avec la commande access-group. ccnp_cch
5. Si vous êtes un utilisateur enregistré et que vous êtes loggué, vous pouvez résou- dre vos problèmes de PIX avec la "TAC Case Collection". ccnp_cch