Sécurité - ASA7.x/PIX 6.x et plus - Configurer le blocage et l'ouverture de ports ccnp_cch

Sommaire ● Introduction ● Configuration - Prérequis - Composants utilisés - Schéma du réseau - Produits liés ● Configuration - Schéma du réseau - Configuration du blocage de ports - Configuration de l'ouverture de ports ● Vérification ccnp_cch

Introduction Ce document fournit un exemple de configuration sur comment ouvrir ou fermer des ports pour différents types de trafic tels http ou ftp dans l'appliance de sécurité. Note: les termes "ouverture de port" et "autoriser le port" ont la même signification. De manière similaire, "bloquer le port" et "restreindre le port" ont également la même signification. Prérequis Ce document suppose que le PIX/ASA est configuré et fonctionne correctement. Composants utilisés Les informations contenues dans ce document sont basées sur Cisco Adaptive Secu- rity Appliance 5500 series qui opère avec la version 7.2(1). Produits liés Cette configuration peut être aussi utilisée avec l'appliance Cisco PIX série 500 et la version logicielle 6.2 et supérieures. Configuration Chaque interface doit avoir un niveau de sécurité 0 (le plus bas) à 100 (le plus élevé). Par exemple, vous devez affecter le niveau 100 à votre réseau le plus sécurisé (votre réseau interne). Tandis que le réseau externe qui est connecté à Internet peut avoir le niveau 0, les autres réseaux telles les DMZs peuvent avoir des niveaux intermédiai- res. Vous pouvez affecter plusieurs interfaces au même niveau de sécurité. Par défaut, tous les ports sont bloqués sur l'interface externe (niveau de sécurité 0) et tous les ports sont ouverts sur l'interface interne ( niveau de sécurité 100) de l'appli- ance de sécurité. De cette manière, tout le trafic sortant peut passer au travers de l'appliance de sécurité sans aucune configuration mais le trafic entrant peut être au- torisé par les commandes de configuration static et access-list dans l'appliance de sécurité. Note: En général, tous les ports sont bloqués de la zone de sécurité la plus basse vers la zone de sécurité la plus élevée et tous les ports sont ouverts de la zone de sécurité la plus élevée vers la zone de sécurité la plus basse faisant en sorte que l'inspection stateful soit validée pour les trafics entrant et sortant. Cette section contient les sous-sections: ● Schéma du réseau ● Blocage des ports ● Ouverture des ports ccnp_cch

Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau .10 172.16.1.1 (réelle) 192.168.5.1 (mappée) FTP DMZ Internet 10.1.1.0/24 172.16.1.0/27 Inside SMTP DNS HTTPS HTTP 192.168.5.0/27 Outside .1 172.16.1.2 (réelle) 192.168.5.2 (mappée) 172.16.1.3 (réelle) 192.168.5.3 (mappée) 172.16.1.4 (réelle) 192.168.5.4 (mappée) 172.16.1.5 (réelle) 192.168.5.5 (mappée) Configuration du blocage des ports L'appliance de sécurité autorise tout trafic sortant sauf si celui-ci est explicitement bloqué par une liste d'accès étendue. Une liste d'accès est constituée d'une ou plusieurs Access Control Entries. Selon le ty- pe de liste d'accès, vous pouvez spécifier les adresses source et destination, le protoco- le, les ports (TCP ou UDP), le type (ICMP) ou l'EtherType. Note: Pour les protocoles en mode non-connecté tel ICMP, l'appliance de sécurité éta- blit des sessions unidirectionnelles aussi vous aurez besoin de listes d'accès pour au- toriser ICMP dans les deux directions (en appliquant des listes d'accès aux interfaces source et destination) ou vous aurez à valider le moteur d'inspection ICMP. Le moteur d'inspection ICMP traite les sessions ICMP comme des liaisons bidirectionnelles. Exécutez ces étapes pour bloquer les ports lesquelles s'appliquent usuellement au tra- fic qui est issu de l'intérieur (zone de sécurité élevée) vers la DMZ (zone de sécurité plus basse) ou de la DMZ vers l'extérieur. ccnp_cch

Configuration de l'ouverture des ports 1. Créez une liste de contrôle d'accès de telle manière que vous bloquez le trafic pour le port spécifié. access−list <name> deny <protocol> <source−network/source IP> <source−netmask> <destination−network> <destination−netmask> eq <port number> access−list <name> permit ip any any 2. Ensuite liez l'access-list avec la commande access-group pour qu'elle soit active. access−group <access list name> in interface <interface name> Exemples: 1. Bloquer le trafic du port HTTP : Dans le but de bloquer l'accès http (serveur web) à l'adresse IP 172.16.1.1 placé dans le réseau de la DMZ depuis le réseau interne 10.1.1.0, créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1 eq 80 ciscoasa(config)#access−list 100 extended permit ip any any ciscoasa(config)#access−group 100 in interface inside Note: utilisez no suivi des commandes access-list pour retirer le blocage de port. 2. Bloquer le trafic du port FTP : Dans le but de bloquer l'accès ftp (serveur ftp) à l'adresse IP 172.16.1.2 placé dans le réseau de la DMZ depuis le réseau interne 10.1.1.0, créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2 eq ftp Configuration de l'ouverture des ports L'appliance de sécurité n'autorise aucun trafic entrant à moins que celui-ci soit expli- citement permis par une liste d'accès étendue. Si vous voulez autoriser un host externe à accéder à un host interne, vous pouvez ap- pliquer une liste d'accès sur l'interface externe. Vous devez spécifier l'adresse traduite du host interne dans la liste d'accès car l'adresse traduite est l'adresse qui est utilisée sur le réseau externe. Exécutez ces étapes pour ouvrir les ports de la zone de sécurité la plus basse vers la plus élevée. Par exemple autoriser le trafic depuis l'extérieur (zone de sécurité la plus basse) vers l'interface interne (zone de sécurité la plus élevée) ou de la DMZ vers l'in- terface interne. ccnp_cch

1. Le NAT statique crée une traduction fixe entre une adresse réelle et une adresse mappée. Cette adresse mappée est une adresse publique Internet utilisée pour ac- céder au serveur d'application dans la DMZ sans avoir à connaître l'adresse réelle du serveur. static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access−list access_list_number} 2. Créez une ACL pour permettre le trafic sur le port spécifié. access−list <name> permit <protocol> <source−network/source IP> <source−netmask> <destination−netwok/destination IP> <destination−netmask> eq <port number> 3. Liez la liste d'accès avec la commande access-group pour qu'elle soit active. access−group <access−list name> in interface <interface name> Exemples: 1. Ouvrir le trafic pour le port SMTP: Ouvrir le port 25 pour autoriser les hosts ex- ternes (Internet) à accéder au serveur mail placé dans le réseau de la DMZ. La commande static fait correspondre l'adresse externe 192.168.5.3 à l'adresse réelle DMZ 172.16.1.3. ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3 netmask 255.255.255.255 ciscoasa(config)#access−list 100 permit tcp any host 192.168.5.3 eq 25 ciscoasa(config)#access−group 100 in interface outside 2. Ouvrir le trafic pour le port HTTPS: Ouvrir le port tcp 443 pour autoriser les hosts externes (Internet) à accéder au serveur web (sécurisé) placé dans le réseau de la DMZ. ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5 ciscoasa(config)#access−list 100 permit tcp any host 192.168.5.5 eq 443 3. Autoriser le trafic DNS: Ouvrir le port udp 53 pour autoriser les hosts externes (Internet) à accéder au serveur DNS (sécurisé) placé dans la DMZ. ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4 ciscoasa(config)#access−list 100 permit udp any host 192.168.5.4 eq 53 ccnp_cch

Vérification Vous pouvez vérifier la configuration avec les commandes show suivantes: ● show xlate - Affiche les informations sur les traductions courantes. ● show access−list - Affiche les listes d'accès avec les compteurs de passage ● show logging - Affiche les logs présents dans le buffer. ccnp_cch