La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration du PIX avec un seul réseau interne

Publié parMarie-Claude Duval Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Sécurité - Configuration du PIX avec un seul réseau interne"— Transcription de la présentation:

1 Sécurité - Configuration du PIX avec un seul réseau interne
ccnp_cch

2 Sommaire ● Introduction ● Configuration
- Prérequis Composants utilisés ● Configuration - Schéma du réseau Configurations ● Résolution de problèmes - Commandes pour résolution de problèmes ● Résolution de problèmes communs ccnp_cch

3 Introduction Cet exemple de configuration montre comment configurer un pare-feu PIX Cisco pour séparer un réseau d'entreprise d'Internet Prérequis Le réseau interne à un serveur Web, un serveur mail et un serveur FTP que les utili- sateurs Internet peuvent atteindre. Tous les autres accès vers des hosts du réseau in- terne par des utilisateurs externes sont interdits ● Adresse du serveur Web ; Adresse Internet ● Adresse du serveur Web ; Adresse Internet ● Adresse du serveur Web ; Adresse Internet Tous les utilisateurs du réseau interne ont un accès Internet non restreint. Les utili- sateurs internes sont autorisés à "pinguer" des équipements sur Internet mais les uti- lisateurs Internet ne sont pas autorisés à "pinguer" des équipements sur le réseau in- terne. Cette société a acheté une adresse de réseau de classe C à son FAI ( x). Les adresses et sont réservées respectivement au routeur ex- terne et à l'interface externe du PIX. Les adresses à 5 sont utilisées pour les serveurs internes accessibles par les utilisateurs Internet. Les adresses suivantes sont réservées pour un usage futur: à Le pare-feu PIX de cet exemple a quatre interfaces réseau mais deux seulement sont utilisées pour transmettre les messages syslog vers un serveur syslog sur le réseau interne avec l'adresse IP (non représenté sur le schéma ci-après). Composants utilisés Cette configuration a été réalisée et testée en utilisant les versions matérielles et logicielles suivantes: ● Routeur Cisco ● IOS Cisco release 12.1(21) ● Cisco PIX Firewall ● Cisco PIX Firewall Logiciel Release 6.3(3) ccnp_cch

4 Configuration Configurations ccnp_cch
Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Utilisateurs internes Outside Inside Passerelle Serveur Web Internet /24 Serveur Mail PIX Routeur passerelle Serveur FTP /24 Configurations Cisco PIX Firewall Building configuration... : Saved : PIX Version 5.3(1) nameif gb−ethernet0 outside security0 nameif gb−ethernet1 inside security100 nameif ethernet0 intf2 security10 nameif ethernet1 intf3 security15 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol http 80 fixup protocol h fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 names ccnp_cch

5 ccnp_cch !−−− Crée une liste d'accès pour autoriser ping en sortie
!−−− et le retour des paquets. access−list 100 permit icmp any any echo−reply access−list 100 permit icmp any any time−exceeded access−list 100 permit icmp any any unreachable !−−− Permet aux utilisateurs Internet de connecter !−−− aux serveurs web, mail et FTP. access−list 100 permit tcp any host eq www access−list 100 permit tcp any host eq smtp access−list 100 permit tcp any host eq ftp pager lines 24 !−−− Valide le logging. logging on no logging timestamp no logging standby no logging console no logging monitor !−−− Permet la sauvergarde des messages d'erreur !−−− dans un buffer local. logging buffered errors !−−− Envoi des notifications (traps) vers un !−−− serveur Syslog. logging trap notifications no logging history logging facility 20 logging queue 512 !−−− Envoi des messages syslog à un serveur Syslog !−−− sur l'interface interne. logging host inside !−−− Toutes les interfaces sont "shutdown" par défaut si elles !--- ne sont pas configurées. interface gb−ethernet0 1000auto interface gb−ethernet1 1000auto interface ethernet0 auto shutdown interface ethernet1 auto shutdown mtu outside 1500 mtu inside 1500 mtu intf2 1500 mtu intf3 1500 ip address outside ip address inside ip address intf ip address intf ip audit info action alarm ip audit attack action alarm no failover ccnp_cch

6 ccnp_cch failover timeout 0:00:00 failover poll 15
failover ip address outside failover ip address inside failover ip address intf failover ip address intf arp timeout 14400 !−−− Définit un pool NAT (Network Address Translation) !−−− utilisé par les hosts internes pour aller sur Internet. global (outside) − !−−− Définit une adresse PAT (Port Address Translation) qui sera !−−− utilisée quand le pool NAT n'aura plus d'adresse libre. global (outside) !−−− Permet à tous les hosts d'utiliser les adresses !−−− NAT ou PAT spécifiées ci-dessus. nat (inside) !−−− Définit une traduction statique pour le serveur web !−−− interne pour qu'il soit accessible depuis Internet. static (inside,outside) netmask !−−− Définit une traduction statique pour le serveur mail static (inside,outside) !−−− Définit une traduction statique pour le serveur FTP static (inside,outside) !−−− Applique la liste d'accès 100 à l' interface externe. access−group 100 in interface outside !−−− Définit une route par défaut vers le routeur du FAI. route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps ccnp_cch

7 Résolution de problèmes
floodguard enable no sysopt route dnat isakmp identity hostname !−−− Permet au host de faire un accès Telnet !−−− sur l'interface interne du PIX. telnet inside telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:3e7ba2f76bf9a6b42ff656d31ebda5c5 : end [OK] Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour ré- soudre des problèmes liés à votre configuration ● show interface − Affiche les statistiques d'interface. ● show traffic − Montre le volume de trafic passant à travers le PIX. ● show xlate − Affiche les traductions NAT courante construites par le PIX. ● show conn − Affiche les connexions courantes à travers le PIX. Commandes pour résolution de problèmes ● debug icmp trace − Affiche tous les messages Echo Request et Echo reply de ICMP (Internet Control Message Protocol) vers ou à travers le PIX. Résolution de problèmes communs 1. Le pool NAT ( et l'adresse PAT - à l'exception de l'interface PAT) doit utiliser des adresses IP qui ne doivent pas être utilisées par d'autres équipements sur le réseau Ceci inclut les adresses statiques (pour la traduction) ou les adresses utilisées sur les interfaces Si vous avez une version logicielle 5.2 ou suivante du PIX, l'adresse de l'interface externe peut être utilisée pour PAT. Ceci est très utile si vous avez une seule adres se externe disponible ou si vous avez besoin d'économiser de l'espace d'adressage Pour valider PAT sur l'adresse de l'interface externe, retirez le pool NAT global et l'adresse PAT de la configuration et utilisez l'adresse IP de l'interface externe comme adresse PAT ip address outside nat (inside) 1 0 0 global (outside) 1 interface ccnp_cch

8 Note : Quelques applications multimédia peuvent entrer en conflit avec les corres pondances fournies par PAT. PAT ne fonctionne pas avec la commande established. PAT fonctionne avec DNS (Domain Name Service), FTP et FTP passif, HHTP, , rshell, RPC (Remote Procedure Call), Telnet, filtrage d'URL sur traçage de route sor tant. Plusieurs versions de PIX supportent H323 avec PAT. Le support H.323v2 avec PAT a été ajouté dans la version tandis que le support H.323v3 et v4 avec PAT a été ajouté dans la version ● Vous devez avoir une liste d'accès (ou un conduit) pour permettre l'accès à vos ser veurs. L'accès entrant n'est pas permis par défaut Note : La commande conduit a été supplantée par la commande access-list. Cisco vous recommande de migrer votre configuration pour retirer la commande conduit afin d'assurer une compatibilité future. ● A la fin de toute liste d'accès il y a une instruction implicite deny ip any any. ● Si le serveur DNS est à l'extérieur du PIX et que les utilisateurs internes veulent accéder aux serveurs internes avec leurs noms DNS alors la commande alias doit être utilisée pour obtenir la réponse du serveur DNS. ● Si vous avez toujours des problèmes après avoir passé en revue ces problèmes com muns, essayez de suivre ces étapes : Vérifiez que vous avez la connectivité IP entre les deux équipements. pour réali ser cela, entrez sur le PIX avec la console ou connectez-vous au PIX par Telnet et entrez la commande terminal monitor puis la commande debug ip icmp trace Si les utilisateurs internes ont des difficultés à accéder aux serveurs sur Internet, exécutez une commande ping à destination du serveur et regardez si vous obte nez une réponse. Si vous ne recevez pas de réponse, regardez la sortie de la com mande debug et assurez-vous que vous voyez les messages ICMP Echo request sortir du PIX. Si vous ne voyez pas les ICMP Echo request alors vérifiez la passe relle par défaut configurée sur la machine source. Celle-ci doit être l'adresse du PIX Utilisez également nslookup sur le client et assurez-vous qu'il peut résoudre l'adresse IP sur le serveur que vous essayez de joindre Quand vous avez la connectivité IP, arrêtez la commande debug icmp trace et entrez la commande logging console debug (si vous êtes connecté par la conso le) ou la commande logging monitor debug (si vous êtes connecté au PIX par Telnet). Ceci permet au messages syslog d'être affichés sur votre écran. Ensuite tentez de vous connecter au serveur et examinez les logs si du trafic est rejeté Si cela est le cas, les logs doivent vous donner une bonne idée de ce qui se passe Vous pouvez également regarder la description des messages de log Si des utilisateurs externes ne peuvent pas accéder à vos serveurs internes, véri fiez la syntaxe de votre commande static et vérifiez que vous avez permis l'accès avec l'instruction access-list et que vous avez appliqué la liste d'accès avec la commande access-group. ccnp_cch

9 5. Si vous êtes un utilisateur enregistré et que vous êtes loggué, vous pouvez résou dre vos problèmes de PIX avec la "TAC Case Collection". ccnp_cch

Télécharger ppt "Sécurité - Configuration du PIX avec un seul réseau interne"

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
– NAT et PAT - 1.

– NAT et PAT - 1.
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.

Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Configuration PIX avec deux Routeurs

Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un

Sécurité - Configuration d'un
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
PIX/ASA 7.x - Configuration Relais DHCP

PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77

Présentations similaires

Annonces Google