Configuration d'un accès

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Client VPN SSL avec ASDM
Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP
Configuration du PIX/ASA Authentification étendue
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Surveillance des réponses DNS avec la commande
Configuration d'un accès
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
PIX ASA 7.x - Surveillance DNS avec la commande static et
CBAC - Introduction et Configuration
Comprendre la politique
PIX/ASA - Configuration Serveur et Client DHCP
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
Configuration Tunnel VPN
show ip nat translations
Sécurité - ASA/PIX 8.x - Bloquer des sites Web (URLs) en utilisant les expressions régulières et Modular Policy Framework ccnp_cch.
Client VPN pour VPN public Internet
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
PIX - Gestion du trafic VoIP
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
SSH sur l'interface interne
sur l'interface interne
- Mapping de Clients VPN
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
- Utilisation des commandes nat, global, static, conduit,
Configuration de Liaisons Redondantes ou Opérateur de Secours
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Configuration IPSec LAN Privé à LAN Privé et NAT statique
RIP - Configuration des Extensions.
trois réseaux internes
PIX ASA 7.x - Configuration de Contextes multiples
Valider les services VoIP (SIP, H323, MGCP,SCCP)
Sécurité - Configuration d'un
Configuration Routeur SOHO77 AAL5MUX Routage IP, Multi PVCs
entre trois routeurs utilisant des
- Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM
IOS Firewall - Blocage d'applets Java
trois réseaux internes
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Dynamique
Transcription de la présentation:

Configuration d'un accès PIX ASA 7.x - Configuration d'un accès à un serveur Mail sur Réseau Interne ccnp_cch

Sommaire • Configuration • Résolution de problèmes • Introduction - Composants utilisés • Configuration - Schéma - Configurations - Configuration ESMTP TLS • Résolution de problèmes ccnp_cch

Introduction Configuration ccnp_cch Cet exemple de configuration montre comment configurer le pare-feu PIX pour un accès à un serveur Mail situé sur le réseau interne. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● PIX Firewall 535 ● PIX Firewall software release 7.1(1) ● Cisco 2600 router Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau 192.168.2.1/24 192.168.1.1/24 209.164.3.2/30 192.168.1.2/24 209.164.3.1/30 Serveur Mail 192.168.2.57/24 209.164.3.5/30 PIX Routeur B Routeur A Inside Outside LAN 192.168.2.0/24 FAI ccnp_cch

Configurations ccnp_cch PIX PIX Version 7.1(1) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 shutdown no nameif no security−level no ip address interface Ethernet1 interface Ethernet2 !−−− Define the IP address for the inside interface. interface Ethernet3 nameif inside security−level 100 ip address 192.168.1.1 255.255.255.0 !−−− Define the IP address for the outside interface. interface Ethernet4 nameif outside security−level 0 ip address 209.164.3.1 255.255.255.252 interface Ethernet5 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive ccnp_cch

!−−− Crée une liste d'accès qui permet le trafic SMTP (Simple Mail !--- Transfer Protocol de toute source vers le host 209.164.3.5. !−−− Le nom de cette liste d'accès est smtp. !−−− Note: Il y a une seule liste d'accès autorisée par sens et !−−− par interface. access−list smtp extended permit tcp any host 209.164.3.5 eq smtp pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 !−−− Spécifie que tout trafic qui est issu du réseau interne !−−− 192.168.2.x est traduit avec PAT vers 209.164.3.129 si !−−− le trafic passe à travers le pare-feu vers l'extérieur. global (outside) 1 209.164.3.129 nat (inside) 1 192.168.2.0 255.255.255.0 !−−− Définit une traduction statique entre 192.168.2.57 sur le !−−− réseau interne vers 209.164.3.5 sur l'extérieur. static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255 !−−− Applique la liste d'accès nommée smtp en entrée sur !--- l'interface externe. access−group smtp in interface outside !−−− Indique au PIX de passer tout trafic destiné au réseau !−−− 192.168.x.x vers le routeur à l'adresse 192.168.1.2. route inside 192.168.0.0 255.255.0.0 192.168.1.2 1 !−−− Fixe la route par défaut vers 209.164.3.2. !−−− Le PIX suppose que cette adresse est l'adresse du routeur. route outside 0.0.0.0 0.0.0.0 209.164.3.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic ccnp_cch

ccnp_cch !−−− SMTP/ESMTP est inspecté avec "inspect esmtp" et inclus !--- dans la map. policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum:f96eaf0268573bd1af005e1db9391284 : end Routeur B Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname 2522−R5 enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV. ip subnet−zero interface Ethernet0 !−−− Fixe l'adresse IP de l'interface Ethernet à 209.164.3.2. ip address 209.164.3.2 255.255.255.252 interface Serial0 !−−− Indique l'interface serial doit utiliser l'adresse IP !−−− de l'interface Ethernet. ip unnumbered ethernet 0 ccnp_cch

Configuration ESMTP TLS interface Serial1 no ip address no ip directed−broadcast ! ip classless !−−− Indique au routeur de transmettre tout le trafic destiné !−−− au réseau 209.164.3.x vers 209.164.3.1. ip route 209.164.3.0 255.255.255.0 209.164.3.1 !−−− Indique au routeur de transmettre tout le reste du trafic !−−− en sortie vers l'interface 0. ip route 0.0.0.0 0.0.0.0 serial 0 line con 0 transport input none line aux 0 autoselect during−login line vty 0 4 exec−timeout 5 0 password ww login end Note: La configuration du routeur A n'est pas présentée. vous avez uniquement à donner des adresses IP aux interfaces et à configurer la passerelle par défaut à 192.168.1.1 qui est l'interface interne du pare-feu PIX. Configuration ESMTP TLS Note: si vous utilisez le cryptage TLS (Transport Layer Security) pour la communica- tion e-mail, la fonctionnalité d'inspection ESMTP (validée par défaut dans le PIX) éli- mine ces paquets. Pour autoriser les mail avec TLS, dévalidez l'inspection ESMTP comme le montre les commandes suivantes: pix(config)#policy−map global_policy pix(config−pmap)#class inspection_default pix(config−pmap−c)#no inspect esmtp pix(config−pmap−c)#exit pix(config−pmap)#exit ccnp_cch

Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes ● logging console debugging - Cette commande dirige les messages debug vers la console. Si la connectivité avec le serveur mail pose problème, examinez les mes- sages à la console pour localiser les adresses IP des stations émettrices et récep- trices pour essayer de localiser le problème. ccnp_cch