TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM CFI_Site_Paris

Configuration de base d'un pare-feu d'un site avec SDM - Objectifs  Configuration de l'IOS Pare-feu de base sur un routeur d'un site en utilisant SDM - Schéma du réseau Serveur Web 100.1.1.1/24 Serveur FTP 100.1.1.2/24 FastEthernet0/0 172.28.49.101/24 Interface Inside FastEthernet 0/1 100.1.1.101/24 Interface DMZ S0/1/0 12.1.1.101/24 Interface Outside Opérateur Internet RPF1 Vlan 1 10.10.10.1/24 Interface Inside - Scénario Dans ce Lab vous allez configurer un routeur d'un site distant via Cisco Security Device Manager (SDM). Le routeur pare-feu a l'interface externe (Serial 0/1/0) connectée à l'opé- rateur Internet via une liaison série, l'interface FastEthernet 0/1 connectée avec la DMZ et les interfaces internes (FastEthernet0/0 et Interface Vlan1) connectées aux réseux privés du site. Cette configuration comprend deux étapes: - Configuration de l'accès au routeur pour le SDM - Configuration de base du routeur pare-feu CFI_Site_Paris

Note: L'interface Serial 0/1/0 sera configurée avec le SDM - Etape 1: Connexion des équipements et configuration de base Commencez ce Lab en effaçant les configuration précédentes et en redémarrant les équi- pements. Lorsque les équipements ont redémarré, configurez les noms appropriés. Confi- gurez les adresses IP présentées dans le schéma. RPF1(config)# interface fastethernet0/0 RPF1(config-if)# ip address 172.28.49.101 255.255.255.0 RPF1(config-if)# no shutdown RPF1(config)# interface fastethernet0/1 RPF1(config-if)# ip address 100.1.1.101 255.255.255.0 RPF1(config)# interface Vlan 1 RPF1(config-if)# ip address 10.10.10.1 255.255.255.0 Configurez une adresse IP fixe, située dans le réseau 172.28.49.0/24, sur votre PC. Note: L'interface Serial 0/1/0 sera configurée avec le SDM - Etape 2: Préparer le routeur pour le SDM L'application Cisco SDM utilise les lignes terminaux virtuels (vty) et le serveur HTTP pour gérer la configuration de l'équipement. Comme un utilisateur doit se logger pour changer ou accéder à la configuration, quelques commandes de base doivent être entrées pour permettre l'accès distant. Ce sont des commandes de base de l'IOS, elles ne sont pas spécifiques au SDM. Toutefois sans ces commandes, le SDM ne pourra pas accéder au routeur et ne fonctionnera pas. D'abord créez un nom d'utilisateur avec son mot de passe sur le routeur pour être utilisé avec le SDM. Ce login aura besoin du niveau de privilège 15 pour que le SDM puisse modi- fier les paramètres de configuration sur le routeur. La combinaison nom d'utilisateur et mot de passe sera utilisée plus tard pour l'accès au routeur. RPF1(config)# username ciscosdm privilege level 15 password ciscosdm L'accès au routeur avec HTTP doit être configuré pour que SDM fonctionne. Si votre image le supporte (vous devez avoir une image IOS qui supporte la cryptographie), vous devez également valider l'accès sécurisé HTTPS en utilisant la commande ip http secure-server. La validation de HTTPS génère un affichage au sujet de clés RSA. Ceci est normal. Assurez- vous également que le serveur HTTP utilise la base de données locale pour les besoins de l'authentification. RPF1(config)# ip http server RPF1(config)# ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled *Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate RPF1(config)# ip http authentication local CFI_Site_Paris

- Etape 3: Configurer l'interface Serial de RPF1 avec SDM Finalement configurez les terminaux virtuels du routeur pour l'authentification en utilisant la base de données locale. Autorisez l'entrée terminal virtuel au moyen de telnet et de SSH. RPF1(config)# line vty 0 4 RPF1(config-line)# login local RPF1(config-line)# transport input telnet ssh - Etape 3: Configurer l'interface Serial de RPF1 avec SDM 1. Connectez vous au SDM en cliquant sur l'icône présente sur le bureau. - Entrez le nom d'utilisateur et le mot de passe crées à l'étape 2. - La page de présentation du SDM s'affiche. 2. Cliquez sur Accueil pour avoir la page d'accueil du SDM. CFI_Site_Paris

3. Choisissez Configurer> Interfaces et connexions > Créer une connexion puis cliquez sur Créer une connexion. Pour notre exemple, pour l'interface Serial 0/0/0 choisissez l'option Série et cliquez sur Créer une connexion. CFI_Site_Paris

4. Cliquez sur Suivant. CFI_Site_Paris

5. Choisissez Serial 0/0/0 à partir des Interfaces Disponibles puis cliquez sur Suivant. 6. Choisissez le type d'encapsulation pour l'interface série puis cliquez sur Suivant. CFI_Site_Paris

7. Spécifiez l'adresse IP avec le masque de sous-réseau correspondant puis cliquez sur Suivant. CFI_Site_Paris

8. Configurez une route par défaut avec les paramètres Adresse IP de relais suivant (192.168.1.2 comme le montre le schéma du réseau) puis cliquez sur Suivant. Cette fenêtre est affichée et montre un résumé de la configuration. Cliquez sur Terminer. CFI_Site_Paris

Cette fenêtre apparaît et montre l'état de l'envoi de commandes au routeur. Cette fenêtre affiche également les erreurs dues à des commandes incompatibles ou des fonctionnalités non supportées. 9. Choisissez Configurer> Interfaces et connexions > Modifier interface/connexion pour ajouter/modifier/retirer diverses interfaces. Choisissez une interface sur laquelle vous voulez faire des modifications puis cliquer sur Modifier si vous voulez éditer ou modifier l'adresse IP de l'interface. CFI_Site_Paris

CFI_Site_Paris

- Etape 4: Configuration de NAT Configuration de NAT dynamique Exécutez ces étapes pour configurer NAT dynamique sur le routeur R1. 1. Choisissez Configurer> NAT> NAT de base puis cliquez sur Lancer la tâche sélectionnée pour configurer NAT de base. CFI_Site_Paris

2. Cliquez sur Suivant. 3. Choisissez l'interface qui est connectée au routeur R2 et choisissez l'intervalle des adresses IP qui partagent l'accès Internet vers R2. CFI_Site_Paris

4. Cette fenêtre apparaît et montre le résumé de la configuration 4. Cette fenêtre apparaît et montre le résumé de la configuration. Cliquez sur Terminer. 5. La fenêtre Modifiez une configuration NAT montre la configuration NAT dynamique avec l'adresse IP traduite avec PAT. Si vous voulez configurer NAT avec un pool d'adresses, cliquez sur Pool d'adresses. CFI_Site_Paris

6. Cliquez sur Ajouter. Ici les informations telles que le nom du pool et l'intervalle d'adresses avec le masque sont fournies. Il peut arriver que toutes les adresses du pool soient affectées. Quand cela arrive PAT peut être utilisé avec une adresse IP unique pour satisfaire d'autres requêtes de tra- duction. Cochez la case Conversion d'adresse de port PAT (port Address Translation) si vous voulez que votre routeur PAT quand votre pool d'adresse est complètement utilisé. 7. Cliquez sur OK pour terminer. CFI_Site_Paris

8. Cliquez sur Modifier. 9. Choisissez Address Pool dans le champ Type, entrez le nom du pool d'adresses pool1 puis cliquez sur OK. CFI_Site_Paris

10. Cette fenêtre montre la configuration NAT dynamique avec le pool d'adresse. Cliquez sur Désigner les interfaces NAT. Cliquez sur OK pour terminer. CFI_Site_Paris

Configuration NAT statique Exécutez ces étapes pour configurer NAT statique sur le routeur R1. 1. Choisissez Configurer> NAT > Modifier une configuration NAT puis cliquez sur Ajouter pour configurer NAT statique. 2. Choisissez Direction de Interne vers externe ou Externe vers interne, spécifiez l'adresse IP interne devant être traduite sous Convertir depuis Interface. Pour Convertir vers Interface, sélectionnez le Type:  Choisissez Adresse IP si vous voulez une traduction vers l'interface définie dans le champ Adresse IP.  Choisissez Interface si vous voulez une traduction utilisant une interface du routeur. L'adresse source est traduite vers l'adresse IP affectée à l'interface que vous spécifiez dans le champ Interface. Cochez la case Port de redirection si vous voulez inclure l'information de port pour l'équipement interne dans la traduction. CFI_Site_Paris

Cliquez sur OK pour fermer les fenêtres. CFI_Site_Paris

- Etape 5: Configuration du Routage Configuration du routage statique Exécutez ces étapes pour configurer le routage statique sur le routeur R1. 1. Choisissez Configurer> Routage > Routage Statique puis cliquez sur Ajouter pour configurer le routage statique. 2. Entrez le réseau de destination avec le masque et sélectionnez soit l'interface sortante ou l'adresse IP du prochain saut. CFI_Site_Paris

Cette fenêtre montre le routage statique configuré pour le réseau 10.1.1.0 avec l'adresse IP 192.168.1.2 comme prochain saut. Configuration du routage dynamique Exécutez ces étapes pour configurer le routage dynamique sur le routeur R1. 1. Choisissez Configurer> Routage > Routage Dynamique. 2. Sélectionnez RIP puis cliquez sur Modifier. CFI_Site_Paris

4. Spécifiez l'adresse de réseau devant être annoncée. 3. Cochez la case Activer RIP, sélectionnez la version de RIP puis cliquez sur Ajouter. 4. Spécifiez l'adresse de réseau devant être annoncée. 172.1.0.0 5. Cliquez sur OK puis de nouveau sur OK pour envoyer les commandes au routeur. CFI_Site_Paris

CFI_Site_Paris

- Etape 6: Configurations diverses Exécutez ces étapes pour configurer d'autres fonctionnalités sur le routeur R1. 1. Choisissez Configurer> Tâches supplémentaires > Accès Routeur> Compte utilisa- teurs/Afficher pour ajouter/modifier/retirer des comptes utilisateurs au routeur. CFI_Site_Paris

2. Choisissez Fichier> Enregistrer la configuration en cours sur PC pour sauvegarder la configuration dans la NVRAM comme sur le PC et réinitialiser la configuration du routeur avec les valeurs par défaut. 3. Dans la barre de menu choisissez Edition > Préférences pour valider les Préférences de l'utilisateur.  Effectuer un aperçu des commandes avant leur envoi au routeur  Confirmer avant de quitter SDM  Continuer le contrôle de l'état de l'interface lors de la communication mode/tâche CFI_Site_Paris

- Etape 7: Vérification Exécutez ces étapes pour configurer d'autres fonctionnalités sur le routeur R1. 1. Choisissez Configurer> Interfaces et connexions > Modifier interface/connexion> Tester la connexion pour tester la connectivité de bout en bout. Vous pouvez spécifier l'adresse IP de l'extrémité distante si vous validez le bouton radio Indiqué par util. CFI_Site_Paris

- Etape 8: Résolution de problèmes Vous pouvez utiliser ces options pour résoudre des problèmes:  Choisissez Outils> Mettre à jour SDM depuis le barre de menu pour une exécuter une commande ping, Telnet et mettre à niveau le SDM avec la dernière version. Vous pouvez faire cela depuis le site de Cisco, le PC local ou le CD. CFI_Site_Paris

 Choisissez l'option Aide > A propos de ce routeur pour afficher les informations sur le matériel et le logiciel du routeur. CFI_Site_Paris

 L'option Aide fournit des informations sur les diverses options disponibles dans le SDM pour la configuration du routeur. CFI_Site_Paris