Sécurité - ASA7.x/PIX 6.x et plus

Slides:



Advertisements
Présentations similaires
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Advertisements

Effacer la Configuration LWAPP sur un LAP
– NAT et PAT - 1.
Liste de contrôle d’accès
Sécurité - Configuration du PIX avec un seul réseau interne
Client léger VPN SSL avec ASDM
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Surveillance des réponses DNS avec la commande
pleine Classe et sans Classe
Configuration d'un accès
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
IS-IS - Adjacence Point à Point
PIX ASA 7.x - Surveillance DNS avec la commande static et
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
CBAC - Introduction et Configuration
Comprendre la politique
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
de listes d'accès filtres
(Switch Database Management)
show ip nat translations
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
- Utilisation des commandes nat, global, static, conduit,
Configuration de Voice VLAN
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
SONET - Bref aperçu de Packet Over SONET APS
trois réseaux internes
Sécurité - Configuration d'un
Configuration d'un accès
OSPF - Routage Inter-Area
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
QoS - Configuration Fragmentation
Configuration NAT Statique
Configuration NAT Dynamique
Transcription de la présentation:

Sécurité - ASA7.x/PIX 6.x et plus - Configurer le blocage et l'ouverture de ports ccnp_cch

Sommaire ● Introduction ● Configuration - Prérequis - Composants utilisés - Schéma du réseau - Produits liés ● Configuration - Schéma du réseau - Configuration du blocage de ports - Configuration de l'ouverture de ports ● Vérification ccnp_cch

Introduction Ce document fournit un exemple de configuration sur comment ouvrir ou fermer des ports pour différents types de trafic tels http ou ftp dans l'appliance de sécurité. Note: les termes "ouverture de port" et "autoriser le port" ont la même signification. De manière similaire, "bloquer le port" et "restreindre le port" ont également la même signification. Prérequis Ce document suppose que le PIX/ASA est configuré et fonctionne correctement. Composants utilisés Les informations contenues dans ce document sont basées sur Cisco Adaptive Secu- rity Appliance 5500 series qui opère avec la version 7.2(1). Produits liés Cette configuration peut être aussi utilisée avec l'appliance Cisco PIX série 500 et la version logicielle 6.2 et supérieures. Configuration Chaque interface doit avoir un niveau de sécurité 0 (le plus bas) à 100 (le plus élevé). Par exemple, vous devez affecter le niveau 100 à votre réseau le plus sécurisé (votre réseau interne). Tandis que le réseau externe qui est connecté à Internet peut avoir le niveau 0, les autres réseaux telles les DMZs peuvent avoir des niveaux intermédiai- res. Vous pouvez affecter plusieurs interfaces au même niveau de sécurité. Par défaut, tous les ports sont bloqués sur l'interface externe (niveau de sécurité 0) et tous les ports sont ouverts sur l'interface interne ( niveau de sécurité 100) de l'appli- ance de sécurité. De cette manière, tout le trafic sortant peut passer au travers de l'appliance de sécurité sans aucune configuration mais le trafic entrant peut être au- torisé par les commandes de configuration static et access-list dans l'appliance de sécurité. Note: En général, tous les ports sont bloqués de la zone de sécurité la plus basse vers la zone de sécurité la plus élevée et tous les ports sont ouverts de la zone de sécurité la plus élevée vers la zone de sécurité la plus basse faisant en sorte que l'inspection stateful soit validée pour les trafics entrant et sortant. Cette section contient les sous-sections: ● Schéma du réseau ● Blocage des ports ● Ouverture des ports ccnp_cch

Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau .10 172.16.1.1 (réelle) 192.168.5.1 (mappée) FTP DMZ Internet 10.1.1.0/24 172.16.1.0/27 Inside SMTP DNS HTTPS HTTP 192.168.5.0/27 Outside .1 172.16.1.2 (réelle) 192.168.5.2 (mappée) 172.16.1.3 (réelle) 192.168.5.3 (mappée) 172.16.1.4 (réelle) 192.168.5.4 (mappée) 172.16.1.5 (réelle) 192.168.5.5 (mappée) Configuration du blocage des ports L'appliance de sécurité autorise tout trafic sortant sauf si celui-ci est explicitement bloqué par une liste d'accès étendue. Une liste d'accès est constituée d'une ou plusieurs Access Control Entries. Selon le ty- pe de liste d'accès, vous pouvez spécifier les adresses source et destination, le protoco- le, les ports (TCP ou UDP), le type (ICMP) ou l'EtherType. Note: Pour les protocoles en mode non-connecté tel ICMP, l'appliance de sécurité éta- blit des sessions unidirectionnelles aussi vous aurez besoin de listes d'accès pour au- toriser ICMP dans les deux directions (en appliquant des listes d'accès aux interfaces source et destination) ou vous aurez à valider le moteur d'inspection ICMP. Le moteur d'inspection ICMP traite les sessions ICMP comme des liaisons bidirectionnelles. Exécutez ces étapes pour bloquer les ports lesquelles s'appliquent usuellement au tra- fic qui est issu de l'intérieur (zone de sécurité élevée) vers la DMZ (zone de sécurité plus basse) ou de la DMZ vers l'extérieur. ccnp_cch

Configuration de l'ouverture des ports 1. Créez une liste de contrôle d'accès de telle manière que vous bloquez le trafic pour le port spécifié. access−list <name> deny <protocol> <source−network/source IP> <source−netmask> <destination−network> <destination−netmask> eq <port number> access−list <name> permit ip any any 2. Ensuite liez l'access-list avec la commande access-group pour qu'elle soit active. access−group <access list name> in interface <interface name> Exemples: 1. Bloquer le trafic du port HTTP : Dans le but de bloquer l'accès http (serveur web) à l'adresse IP 172.16.1.1 placé dans le réseau de la DMZ depuis le réseau interne 10.1.1.0, créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1 eq 80 ciscoasa(config)#access−list 100 extended permit ip any any ciscoasa(config)#access−group 100 in interface inside Note: utilisez no suivi des commandes access-list pour retirer le blocage de port. 2. Bloquer le trafic du port FTP : Dans le but de bloquer l'accès ftp (serveur ftp) à l'adresse IP 172.16.1.2 placé dans le réseau de la DMZ depuis le réseau interne 10.1.1.0, créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2 eq ftp Configuration de l'ouverture des ports L'appliance de sécurité n'autorise aucun trafic entrant à moins que celui-ci soit expli- citement permis par une liste d'accès étendue. Si vous voulez autoriser un host externe à accéder à un host interne, vous pouvez ap- pliquer une liste d'accès sur l'interface externe. Vous devez spécifier l'adresse traduite du host interne dans la liste d'accès car l'adresse traduite est l'adresse qui est utilisée sur le réseau externe. Exécutez ces étapes pour ouvrir les ports de la zone de sécurité la plus basse vers la plus élevée. Par exemple autoriser le trafic depuis l'extérieur (zone de sécurité la plus basse) vers l'interface interne (zone de sécurité la plus élevée) ou de la DMZ vers l'in- terface interne. ccnp_cch

1. Le NAT statique crée une traduction fixe entre une adresse réelle et une adresse mappée. Cette adresse mappée est une adresse publique Internet utilisée pour ac- céder au serveur d'application dans la DMZ sans avoir à connaître l'adresse réelle du serveur. static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access−list access_list_number} 2. Créez une ACL pour permettre le trafic sur le port spécifié. access−list <name> permit <protocol> <source−network/source IP> <source−netmask> <destination−netwok/destination IP> <destination−netmask> eq <port number> 3. Liez la liste d'accès avec la commande access-group pour qu'elle soit active. access−group <access−list name> in interface <interface name> Exemples: 1. Ouvrir le trafic pour le port SMTP: Ouvrir le port 25 pour autoriser les hosts ex- ternes (Internet) à accéder au serveur mail placé dans le réseau de la DMZ. La commande static fait correspondre l'adresse externe 192.168.5.3 à l'adresse réelle DMZ 172.16.1.3. ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3 netmask 255.255.255.255 ciscoasa(config)#access−list 100 permit tcp any host 192.168.5.3 eq 25 ciscoasa(config)#access−group 100 in interface outside 2. Ouvrir le trafic pour le port HTTPS: Ouvrir le port tcp 443 pour autoriser les hosts externes (Internet) à accéder au serveur web (sécurisé) placé dans le réseau de la DMZ. ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5 ciscoasa(config)#access−list 100 permit tcp any host 192.168.5.5 eq 443 3. Autoriser le trafic DNS: Ouvrir le port udp 53 pour autoriser les hosts externes (Internet) à accéder au serveur DNS (sécurisé) placé dans la DMZ. ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4 ciscoasa(config)#access−list 100 permit udp any host 192.168.5.4 eq 53 ccnp_cch

Vérification Vous pouvez vérifier la configuration avec les commandes show suivantes: ● show xlate - Affiche les informations sur les traductions courantes. ● show access−list - Affiche les listes d'accès avec les compteurs de passage ● show logging - Affiche les logs présents dans le buffer. ccnp_cch