Sécurité - Configuration du PIX

Slides:



Advertisements
Présentations similaires
Configuration de base Cette section montre les opérations de base à réaliser pour mettre en fonction un routeur cisco, selon une configuration minimale.
Advertisements

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Effacer la Configuration LWAPP sur un LAP
– NAT et PAT - 1.
Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Surveillance des réponses DNS avec la commande
Configuration d'un accès
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
Configuration de Syslog
PIX ASA 7.x - Surveillance DNS avec la commande static et
Sécurité - Questionnaire N°1
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
CBAC - Introduction et Configuration
Comprendre la politique
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
de listes d'accès filtres
Configuration Routeur SOHO77
show ip nat translations
Client VPN pour VPN public Internet
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
PIX - Gestion du trafic VoIP
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Sécurité - Quiz Réponses
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
SSH sur l'interface interne
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
- Utilisation des commandes nat, global, static, conduit,
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
trois réseaux internes
Configuration d'un Pare-feu
Valider les services VoIP (SIP, H323, MGCP,SCCP)
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
Configuration d'un accès
entre trois routeurs utilisant des
- Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM
IOS Firewall - Blocage d'applets Java
Configuration IPSec Routeur vers PIX avec access-list et nat 0
trois réseaux internes
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Dynamique
Transcription de la présentation:

Sécurité - Configuration du PIX - Serveur Mail sur DMZ ccnp_cch

- Introduction - Composants utilisés Sommaire - Introduction - Composants utilisés - Configuration - Schéma du réseau - Configurations - Vérification - Résolution de problèmes ccnp_cch

Introduction Cet exemple de configuration démontre comment configurer un Cisco PIX Firewall pour l'accès à un serveur mail situé dans la DMZ. Composants utilisés Cette configuration a été réalisée et testée en utilisant les versions matérielles et logicielles suivantes: • Cisco PIX Firewall 515-E • Cisco PIX Firewall Logiciel Release 6.2(2) Configuration Schéma du Réseau Serveur SMTP 172.16.128.103 209.64.3.5 192.168.1.0/24 FAI Configurations Cisco PIX Firewall PIX Version 6.2(2) !−−− Ces commandes nomment et fixent les niveaux !−−− de sécurité des interfaces respectives. nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname SanQuentin domain−name noplace.com fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 ras 1718−1719 fixup protocol h323 h225 1720 fixup protocol ils 389 ccnp_cch

ccnp_cch fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 no names !−−− Cette instruction crée une liste d'accès nommée smtp qui !−−− autorise le trafic SMTP de toutes origines d'atteindre le !−−− le serveur à l'adresse 209.164.3.5. Note: il y a une et une seule !−−− liste d'accès autorisée par interface et par direction (par exemple, !--- inbound sur l'interface externe). A cause de cette limitation, toute !−−− ligne supplémentaire à placer dans la liste d'accès doit être placée !−−− ici. Si le serveur n'est pas un serveur SMTP, remplacez les !−−− occurrences smtp avec www, dns, pop3 ou ce qui est requis. ! access−list smtp permit tcp any host 209.164.3.5 eq smtp pager lines 24 logging on logging timestamp no logging standby logging console debugging logging monitor debugging logging buffered debugging logging trap debugging no logging history logging facility 23 logging queue 512 !−−− Ces commandes indiquent au PIX de tester le média !−−− de chaque interface. interface ethernet0 auto interface ethernet1 auto interface ethernet 2 auto mtu outside 1500 mtu inside 1500 mtu dmz 1500 !−−− Ces commandes configurent les adresses IP des interfaces !--- respectives. ip address inside 192.168.1.1 255.255.255.252 ip address outside 209.164.3.1 255.255.255.252 ip address dmz 172.16.128.1 255.255.255.0 ccnp_cch

ccnp_cch no failover ! arp timeout 14400 !−−− Ces commandes établissent PAT (Port Address Translation) pour le !−−− trafic issu de l'intérieur et traversant le PIX pour aller vers !−−− l'extérieur. global (outside) 1 209.164.3.129 nat (inside) 1 192.168.1.0 255.255.255.0 !−−− Cette traduction statique crée une traduction entre l'adresse !--- légale (outside) du server (209.164.3.5) et l'adresse privée !--- 172.16.128.103 (inside). static (dmz,outside) 209.164.3.5 172.16.128.103 netmask 255.255.255.255 !−−− Cette traduction statique empêche la traduction de 192.168.1.x !−−− réseau interne quand des paquets sont transmis vers la DMZ. static (inside,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 !−−− Cette instruction applique la liste d'accès crée au-dessus à !−−− l'interface nommée "outside". Comme elle est appliquée en entrée !−−− le PIX vérifiera tous les paquets entrants avec cette liste, !−−− éliminant les paquets non explicitement permis. access−group smtp in interface outside !−−− Cette commande indique au PIX de transmettre tous les paquets non !−−− destinés au réseaux directement connectés au routeur à l'adresse !−−− 209.164.3.2 (routeur externe). route outside 0.0.0.0 0.0.0.0 209.164.3.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius aaa−server LOCAL protocol local http server enable http 192.168.1.0 255.255.255.0 inside no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps floodguard enable terminal width 80 Cryptochecksum:d66eb04bc477f21ffbd5baa21ce0f85a : end ccnp_cch

! !−−− Commande alternative: !−−− conduit permit tcp host 209.164.3.5 eq smtp any !−−− Cette commande, dans les versions de logiciel PIX antérieures, !--- avait la même fonction que les commandes access−list and !--- access−group utilisées ci-dessus. Vérification Il n'y a pas de procédure de vérification disponible pour cette configuration. Résolution de problèmes La commande logging console debugging dirige les messages vers la console du PIX. S'il y a un problème avec le courrier, examinez les messages pour localiser l'adresse IP des stations émettrices et réceptrices pour résoudre le problème. ccnp_cch