- Utilisation des commandes nat, global, static, conduit, PIX - Utilisation des commandes nat, global, static, conduit, acces-list et redirection de Port ccnp_cch

Sommaire ● Introduction - Composants utilisés ● Schéma du réseau - Configuration initiale ● Autoriser l'accès en sortie - Autoriser certains hosts à accéder à des réseaux externes - Autoriser le reste des hosts à accéder à des réseaux externes - Restreindre aux hosts internes l'accès à des réseaux externes ● Autoriser à des hosts inconnus d'accéder à des hosts internes de votre réseau sécurisé - Utilisation de Conduits sur les PIX versions 4.4.5 et suivantes - Utilisation des ACLs sur les les PIX versions 5.0.1 et suivantes ● Dévalider NAT ● Redirection de Port avec la commande static - Schéma du réseau - Redirection de Port - Configuration partielle du PIX - Redirection de Port ● NAT Outside - Schéma du réseau - NAT Outside - Configuration partielle du PIX - NAT Outside ccnp_cch

Introduction Pour avoir une sécurité maximum quand on implémente un pare-feu PIX Cisco, il est important de comprendre comment les paquets sont passés d'une interface de sécurité élevée vers une interface de sécurité plus basse en utilisant les commandes nat, glo- bal, static, conduit ou access-list et access-group dans les versions logicielles de PIX 5.0.1 et suivantes. Ce document explique les différences entre ces commandes et com- ment configurer la redirection de port dans les PIX version 6.0 et la fonctionnalité NAT (Network Address Translation) Outside dans les PIX version 6.2 Composants utilisés Ce document est basé sur les versions matérielles et logicielles suivantes: • Cisco PIX Firewall versions 4.4.5 et suivantes Schéma du Réseau Outside NAT www.your-org.com Réel : 10.200.1.254 Enregistré: 275.1.1.254 209.165.202.129 E1 E0 Réseau non sécurisé Hosts Internes 10.1.1.25 à 10.1.1.254 et 10.1.6.1 à .82 10.1.1.2/8 175.1.1.2/24 Inside Outside 209.165.202.128 10.0.0.0/8 Inside NAT Configuration initiale Les interfaces sont nommées comme suit : ● nameif ethernet0 outside security0 ● nameif ethernet1 inside security100 ccnp_cch

Autoriser l'accès en sortie L'accès en sortie décrit les connexions faites à partir d'une interface de niveau de sécu- rité élevé vers une interface de niveau de sécurité plus bas. Ceci inclut les connexions de l'intérieur vers les DMZ ( Demilitarized Zones) et DMZs vers l'extérieur. Ceci peut inclure les connexions d'une DMZ vers une autre, en supposant que l'interface de con- nexion source a un niveau de sécurité plus élevé que celui de la destination. Ceci peut être vérifié avec la commande nameif dans la configuration du PIX. Il y a deux politiques qui sont requises pour autoriser l'accès vers l'extérieur. La pre- mière est une méthode de traduction d'adresse. Cela peut être une traduction statique utilisant la commande static ou une traduction dynamique utilisant la commande nat global. L'autre politique pour l'accès en sortie est la présence d'une liste d'accès (ACL) qui doit autoriser le host source à accéder au host destination en utilisant le préfixe réseau et le numéro de port si nécessaire. Par défaut il n'y a pas de restriction d'accès sur les connexions en sortie à travers le PIX. Cela veut dire que s'il n'y a pas d'ACL configurée pour l'interface source alors par défaut la connexion en sortie sera autorisée si une méthode de traduction d'adresse est configurée. Les sections suivantes donnent des exemples des méthodes de traduction d'adresse et de restriction d'accès en sortie en utilisant une ACL. Autoriser certains hosts à accéder à des réseaux externes Dans cette configuration, nous voulons donner un accès vers l'extérieur à tous les hosts du sous-réseau 10.1.6.0/24. Pour accomplir cela, nous utilisons les commandes nat et global montrées ci-dessous : 1. Définir le réseau interne devant être inclus dans NAT nat (inside) 1 10.1.6.0 255.255.255.0 2. Spécifier le pool d'adresses sur l'interface outside sur laquelle les hosts définis dans l'instruction nat seront traduits. global (outside) 1 175.1.1.3−175.1.1.64 netmask 255.255.255.0 Maintenant les hosts internes peuvent accéder aux réseaux externes. Quand les hosts initient une connexion vers l'extérieur, leur adresse est traduite en une adresse exter- ne prise dans le pool global. Notez que les adresses sont affectées depuis le pool glo- bal sur la base du premier arrivé premier traduit en commençant par l'adresse la plus basse du pool. par exemple, si le host 10.1.6.25 est le premier à initier une connexion , celui-ci reçoit l'adresse 175.1.1.3. Le prochain host recevra l'adresse 175.1.1.4 et ainsi de suite. Ce n'est pas une traduction statique et cette traduction expire après une période d'inactivité définie par la commande timeout xlate hh:mm:ss. ccnp_cch

ccnp_cch Autoriser le reste des hosts à accéder à des réseaux externes Le problème est qu'il y a plus de hosts internes que d'adresses externes disponibles. Pour autoriser tous les hosts à accéder à l'extérieur, on utilise PAT (Port Address Translation). si une seule adresse est spécifiée par la commande global, cette adresse est utilisée pour la traduction PAT. Le PIX autorise une traduction PAT par interface et cette traduction supporte jusqu'à 65535 objets traduits sur une seule adresse. Exécutez les étapes suivantes: 1. Définissez les adresses internes incluses dans PAT. (En utilisant 0 0 vous sélec- tionnez tous les hosts internes.) nat (inside) 1 10.1.6.0 255.255.255.0 2. Spécifiez l'adresse globale à utiliser pour PAT. global (outside) 1 175.1.1.65 Il y a un certain nombre de points à prendre en compte en utilisant PAT: ● Les adresses IP que vous indiquez pour PAT ne peuvent pas être dans un autre pool d'adresses globales. ● PAT ne fonctionne pas avec des applications H.323, des serveurs DNS cache et PPTP (Point to Point Tunneling Protocol). PAT fonctionne avec DNS (Domain Name Server), FTP et FTP passif, HTTP, Mail, RPC (Remote Procedure Call), rshell, Telnet, filtrage d'URL et traceroute sortant. ● N'utilisez pas PAT quand des applications multimédia ont besoin d'être actives à travers le pare-feu. Des applications multimédia peuvent être en conflit avec la cor- respondance de port utilisée par PAT. ● Les adresses IP dans le pool d'adresses global spécifiées avec la commande global exige des entrées "reverse DNS" pour assurer que toutes les adresses de réseau ex- ternes sont accessibles à travers le PIX. Pour créer des correspondances reverse DNS, utilisez un enregistrement DNS PTR (Pointer) dans la correspondance des adresses vers nom de domaine pour chaque adresse globale. Sans les entrées PTR, les sites peuvent subir des ralentissement ou des pertes de connectivité Internet et des échecs de connexion FTP. par exemple si une adresse IP globale est 175.1.1.3 et le nom de domaine pour le PIX est pix.caguana.com alors l'enregistrement PTR est : 3.1.1.175.in−addr.arpa. IN PTR pix3.caguana.com 4.1.1.175.in−addr.arpa. IN PTR pix4.caguana.com ccnp_cch

Autoriser à des hosts inconnus d'accéder à des hosts de Restreindre aux hosts internes l'accès à des réseaux externes Il a été statué que si une traduction valide existe pour le host source et aucune ACL n'est définie pour l'interface source du PIX alors la connexion vers la sortie sera auto- risée par défaut; cependant dans certains cas il sera nécessaire de restreindre la sor- tie sur la base de l'adresse source, destination, du protocole et/ou du numéro de port. Ceci peut être accompli en configurant une ACL avec la commande access-list et en l'appliquant à l'interface source de connexion du PIX avec la commande access-group. Les ACLs du PIX sont appliquées uniquement dans le sens entrée. Ce qui suit est un exemple autorisant l'accès en sortie de HTTP (HyperText Transfer Protocol) pour un sous-réseau mais l'interdit pour tous les autres hosts tout en autorisant tout autre trafic IP pour tous. 1. Définir l'ACL access−list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www access−list acl_outbound deny tcp any any eq www access−list acl_outbound permit ip any any Note: Les ACLs du PIX diffèrent de celles de l'IOS des routeurs Cisco du fait que les ACLs du PIX n'utilisent pas de masque générique contrairement à l'IOS Cisco. Le PIX utilise un masque de sous-réseau classique dans la définition des ACLs. Comme les ACLs de l'IOS Cisco, les ACLs du PIX int une instruction "deny all" implicite à la fin de la liste de contrôle d'accès. 2. Appliquer l'ACL à l'interface interne access−group acl_outbound in interface inside Autoriser à des hosts inconnus d'accéder à des hosts de votre réseau sécurisé La majorité des organisations a besoin d'autoriser des hosts non reconnus à accéder à des ressources de leur réseau sécurisé avec comme exemple un serveur Web interne. Par défaut le PIX refuse les connexions de hosts externes vers des hosts internes. Pour autoriser cette connexion, utilisez les commandes static et conduit; dans les versions logicielles 5.0.1 et suivantes les commandes access-list et access-group sont dispo- nibles en plus des commandes conduit. Aussi bien les conduits que les ACLs ont un sens pour un PIX à deux interfaces. Les conduits sont basés sur le sens de trafic; ils ont un concept de inside et de outside. Avec un PIX à deux interfaces, le conduit autorise depuis l'extérieur (outside) vers l'intérieur (inside). Contrairement aux conduits, les ACLs sont appliquées aux interfa- ces avec la commande access-group. Cette commande associe l'ACL avec l'interface pour examiner le flux de trafic dans une direction donnée. En opposition avec les commandes nat et global qui autorisent le trafic des hosts in- ternes à sortir, la commande static crée une traduction bidirectionnelle qui autorise le trafic des hosts internes à sortir et celui des hosts externes à entrer si les conduits appropriés sont crées ou les ACLs/groupe sont ajoutées (Logiciel PIX version 5.0.1 et suivantes). ccnp_cch

Dans la configuration PAT des exemples précédents, si un host externe essaie de se connecter à l'adresse globale il pourrait se connecter à des milliers de hosts internes. La commande static crée une correspondance une à une. La commande conduit ou access-list définit quel type de connexion est autorisé vers un host interne. Elle est toujours requise quand un host d'un niveau de sécurité inférieur se connecte avec un host de niveau de sécurité supérieur. La commande conduit ou access-list est basée sur le port et le protocole; elles peuvent être très permissives ou très restrictives selon ce que votre administrateur système souhaite autoriser. Le schéma de réseau précédent illustre l'utilisation de ces commandes pour configurer le PIX et autoriser tous les hosts de niveau de sécurité inférieur à se connecter au ser- veur web interne et le host 199.199.199.24 de niveau inférieur à se connecter au ser- veur FTP de la même machine. Utilisation de Conduits sur les PIX versions 4.4.5 et suivantes Voici les étapes pour les PIX versions logicielles 4.4.5 et suivantes utilisent les conduits. 1. Définir une adresse de traduction statique pour le serveur web interne vers une adresse externe/globale. static (inside,outside) 175.1.1.254 10.200.1.254 2. Définir sur quels ports des hosts peuvent se connecter pour le serveur Web/FTP conduit permit tcp host 175.1.1.254 eq www any conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24 Dans les versions logicielles 5.0.1 et suivantes du PIX, les ACLs avec les groupes peu- vent être utilisées à la place des conduits. Les conduits sont toujours disponibles, mais une décision doit être prise pour utiliser soit les conduits soit les ACL. Il n'est pas souhaitable de combiner les conduits et les ACLs pour la même configuration. Si les deux sont configurées, les ACLs sont préférées aux conduits. Utilisation des ACLs sur les les PIX versions 5.0.1 et suivantes Voici les étapes pour les PIX versions logicielles 5.0.1 et suivantes pour l'utilisation des ACLs. 1. Définir une adresse de traduction statique pour le serveur web interne vers une adresse externe/globale. static (inside,outside) 175.1.1.254 10.200.1.254 2. Définir sur quels ports des hosts peuvent se connecter pour le serveur Web/FTP access−list 101 permit tcp any host 175.1.1.254 eq www access−list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp ccnp_cch

3. Appliquer l'a liste d'accès à l'interface externe 3. Appliquer l'a liste d'accès à l'interface externe. access−group 101 in interface outside Note: Soyez prudent en implémentant ces commandes. Si la commande conduit permit ip any any ou access-list 101 ip permit any any est implémentée, tout host d'un réseau de faible niveau de sécurité peut accéder à tout host de réseau sécurisé en utilisant IP tant qu'il a une traduction active. Dévalider NAT Si vous avez une adresse publique sur votre réseau interne et vous voulez que le trafic des hosts internes sorte vers l'extérieur sans traduction vous pouvez dévalider NAT. Vous devrez également changer la commande static. En utilisant l'exemple précédent, la commande nat sera changée comme suit: nat (inside) 0 175.1.1.0 255.255.255.0 Si vous utilisez des ACLs dans les versions logicielles 5.0.1 et suivantes du PIX, utili- sez les commandes suivantes: access−list 103 permit ip 175.1.1.0 255.255.255.0 any nat (inside) 0 access−list 103 Cette commande dévalide NAT pour le réseau 175.1.1.0. La commande static pour le le serveur sera la suivante: static (inside, outside) 175.1.1.254 175.1.1.254 La commande suivante définit le conduit pour le serveur web: conduit permit tcp host 175.1.1.254 eq www any Si vous utilisez les ACLs dans les versions logicielles 5.0.1 et suivantes du PIX, utili- sez les commandes suivantes: access−list 102 permit tcp any host 175.1.1.254 eq www access−group 102 in interface outside Notez la différence entre l'utilisation de nat 0 avec la spécification réseau/masque à l'opposé d'une ACL qui utilise le couple réseau/masque pour permettre l'initiation de connexion uniquement à partir de l'intérieur. L'utilisation d'ACLs permet l'initiation de connexions pour du trafic en entrée ou en sortie. Les interfaces du PIX doivent être dans des sous-réseaux différents pour éviter tout problème d'accessibilité. ccnp_cch

Redirection de Port avec la commande static Dans le PIX 6.0, la fonctionnalité de redirection de port a été ajoutée pour permettre à des utilisateurs externes de se connecter à une adresse/port particulière et que le PIX redirige le trafic vers un serveur interne approprié; la commande static a été modifiée. L'adresse partagée peut être une adresse unique, une adresse partagée PAT externe ou partagée avec l'interface externe. static [(internal_if_name, external_if_name)] {global_ip|interface} local_ip [netmask mask] [max_conns [emb_limit [norandomseq]]] static [(internal_if_name, external_if_name)] {tcp|udp} {global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] Nous voulons avoir les redirections de port suivantes dans notre réseau: ● Les utilisateurs externes transmettent des requêtes Telnet vers l'adresse IP unique 172.18.124.99 que le PIX redirige vers 10.1.1.6. ● Les utilisateurs externes transmettent des requêtes FTP vers l'adresse IP unique 172.18.124.99 que le PIX redirige vers 10.1.1.3 ● Les utilisateurs externes transmettent des requêtes Telnet vers l'adresse PAT 172.18.124.208 que le PIX redirige vers 10.1.1.4 ● Les utilisateurs externes transmettent des requêtes Telnet vers l'adresse IP externe 172.18.124.216 que le PIX redirige vers 10.1.1.5 ● Les utilisateurs externes transmettent des requêtes HTTP vers l'adresse IP externe ● Les utilisateurs externes transmettent des requêtes HTTP port 8080 vers l'adresse PAT 172.18.124.208 que le PIX redirige vers 10.1.1.7 port 80. Nous décidons également de bloquer l'accès externe à certains utilisateurs internes en utilisant l'ACL 100. Cette étape est optionnelle; par défaut tout trafic est permis de l'intérieur vers l'extérieur. ccnp_cch

Redirection de Port -Configuration partielle du PIX Schéma du réseau - Redirection de Port 10.1.1.2 172.18.124.216 Réseau Interne Réseau Externe Adresse PAT = 172.18.124.208 Adresse Internes: 10.1.1.6 port 23 10.1.1.3 port 21 10.1.1.4 port 23 10.1.1.5 port 23 10.1.1.5 port 80 10.1.1.7 port 80 Adresse Externes: 172.18.124.99 port 23 172.18.124.99 port 21 172.18.124.208 port 23 172.18.124.216 port 23 172.18.124.216 port 80 172.18.124.208 port 8080 Configuration partielle du PIX - Redirection de Port Redirection de Port -Configuration partielle du PIX fixup protocol ftp 21 !−−− L'utilisation d'une ACL en sortie est optionnelle. access−list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www access−list 100 deny tcp any any eq www access−list 100 permit tcp 10.0.0.0 255.0.0.0 any access−list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq 53 access−list 101 permit tcp any host 172.18.124.99 eq telnet access−list 101 permit tcp any host 172.18.124.99 eq ftp access−list 101 permit tcp any host 172.18.124.208 eq telnet access−list 101 permit tcp any host 172.18.124.216 eq telnet access−list 101 permit tcp any host 172.18.124.216 eq www access−list 101 permit tcp any host 172.18.124.208 eq 8080 ip address outside 172.18.124.216 255.255.255.0 ip address inside 10.1.1.2 255.255.255.0 global (outside) 1 172.18.124.208 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask ccnp_cch

static (inside,outside) tcp 172. 18. 124. 208 telnet 10. 1. 1 static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask static (inside,outside) tcp interface www 10.1.1.5 www netmask static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask !−−− L'utilisation d'une ACL en sortie est optionnelle. access−group 100 in interface inside access−group 101 in interface outside NAT Outside Débutant avec le PIX 6.2, NAT et PAT peuvent être appliqués au trafic allant d'une in- terface externe de faible niveau de sécurité vers une interface interne de niveau de sé- curité plus élevé. Ceci est quelques fois appelé "NAT bidirectionnel". NAT/PAT Outside est similaire à NAT/PAT inside mais l'adresse de traduction est ap- pliquée aux adresses de hosts résidant sur l'interface externe (moins sécurisée) du PIX. Pour configurer NAT outside dynamique, spécifiez les adresses traduites sur l'in- terface de niveau de sécurité le plus bas et les adresses globales ou les adresses de l'interface interne de niveau de sécurité plus élevé. Pour configurer NAT statique, utili- sez la commande static pour spécifier une correspondance une à une. Après que NAT ait été configuré, quand un paquet arrive sur l'interface externe (moins sécurisée) du PIX, celui-ci essaie de localiser une traduction (entrée de traduction d'a- dresse) dans la base de données des connexions. Si aucune traduction n'existe alors le PIX recherche une politique NAT dans la configuration courante. Si une politique NAT est trouvée, une traduction est crée et insérée dans la base de données. Ensuite le PIX reécrit les adresses et transmet le paquet sur l'interface interne. Une fois que la traduction est établie, les adresses des paquets suivants peuvent être rapidement tra- duites en consultant la base de données des connexions. Outside NAT - Schéma du réseau 10.100.1.1 inside 209.165.202.130 outside Réseau 10.100.1.x Réseau 209.165.202.x/28 10.100.1.2 209.165.202.129 ccnp_cch

NAT Outside -Configuration partielle du PIX Nous voulons les traduction suivantes: ● L'adresse 10.100.1.2 sera traduite par NAT à l'adresse 209.165.202.135 pour du trafic sortant. ● L'adresse 209.165.202.129 sera traduite par NAT 10.100.1.3 à l'adresse pour du trafic entrant. ● Les autres adresses des hosts du réseau 10.100.1.x seront par NAT avec les adres- ses du pool 209.165.202.140 - 209.165.202.141 pour du trafic sortant. ● Connectivité depuis l'équipement ayant l'adresse 209.165.202.129 vers l'équipe- ment 10.100.1.2 avec l'équipement 209.165.202.129 voyant l'équipement interne avec l'adresse 209.165.202.135 et l'équipement 10.100.1.2 voyant le trafic venant de 209.165.202.129 comme venant de l'adresse 10.100.1.3 (à cause de NAT outsi- de). On permet l'accès à tous les hosts 209.165.202.x en utilisant les ACLs ou les con- duits. NAT Outside -Configuration partielle du PIX ip address outside 209.165.202.130 255.255.255.224 ip address inside 10.100.1.1 255.255.255.0 global (outside) 5 209.165.202.140−209.165.202.141 netmask 255.255.255.224 nat (inside) 5 10.100.1.0 255.255.255.0 0 0 static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0 static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0 !−−− Au lieu des conduits, nous avons gardé les instructions static avec !--- les instructions access-list. access−list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0 access−group 101 in interface outside ccnp_cch