La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - ASA7.x/PIX 6.x et plus

Présentations similaires


Présentation au sujet: "Sécurité - ASA7.x/PIX 6.x et plus"— Transcription de la présentation:

1 Sécurité - ASA7.x/PIX 6.x et plus
- Configurer le blocage et l'ouverture de ports ccnp_cch

2 Sommaire ● Introduction ● Configuration
- Prérequis Composants utilisés Schéma du réseau - Produits liés ● Configuration - Schéma du réseau - Configuration du blocage de ports Configuration de l'ouverture de ports ● Vérification ccnp_cch

3 Introduction Ce document fournit un exemple de configuration sur comment ouvrir ou fermer des ports pour différents types de trafic tels http ou ftp dans l'appliance de sécurité. Note: les termes "ouverture de port" et "autoriser le port" ont la même signification. De manière similaire, "bloquer le port" et "restreindre le port" ont également la même signification. Prérequis Ce document suppose que le PIX/ASA est configuré et fonctionne correctement. Composants utilisés Les informations contenues dans ce document sont basées sur Cisco Adaptive Secu- rity Appliance 5500 series qui opère avec la version 7.2(1). Produits liés Cette configuration peut être aussi utilisée avec l'appliance Cisco PIX série 500 et la version logicielle 6.2 et supérieures. Configuration Chaque interface doit avoir un niveau de sécurité 0 (le plus bas) à 100 (le plus élevé). Par exemple, vous devez affecter le niveau 100 à votre réseau le plus sécurisé (votre réseau interne). Tandis que le réseau externe qui est connecté à Internet peut avoir le niveau 0, les autres réseaux telles les DMZs peuvent avoir des niveaux intermédiai- res. Vous pouvez affecter plusieurs interfaces au même niveau de sécurité. Par défaut, tous les ports sont bloqués sur l'interface externe (niveau de sécurité 0) et tous les ports sont ouverts sur l'interface interne ( niveau de sécurité 100) de l'appli- ance de sécurité. De cette manière, tout le trafic sortant peut passer au travers de l'appliance de sécurité sans aucune configuration mais le trafic entrant peut être au- torisé par les commandes de configuration static et access-list dans l'appliance de sécurité. Note: En général, tous les ports sont bloqués de la zone de sécurité la plus basse vers la zone de sécurité la plus élevée et tous les ports sont ouverts de la zone de sécurité la plus élevée vers la zone de sécurité la plus basse faisant en sorte que l'inspection stateful soit validée pour les trafics entrant et sortant. Cette section contient les sous-sections: ● Schéma du réseau ● Blocage des ports ● Ouverture des ports ccnp_cch

4 Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau .10 (réelle) (mappée) FTP DMZ Internet /24 /27 Inside SMTP DNS HTTPS HTTP /27 Outside .1 (réelle) (mappée) (réelle) (mappée) (réelle) (mappée) (réelle) (mappée) Configuration du blocage des ports L'appliance de sécurité autorise tout trafic sortant sauf si celui-ci est explicitement bloqué par une liste d'accès étendue. Une liste d'accès est constituée d'une ou plusieurs Access Control Entries. Selon le ty- pe de liste d'accès, vous pouvez spécifier les adresses source et destination, le protoco- le, les ports (TCP ou UDP), le type (ICMP) ou l'EtherType. Note: Pour les protocoles en mode non-connecté tel ICMP, l'appliance de sécurité éta- blit des sessions unidirectionnelles aussi vous aurez besoin de listes d'accès pour au- toriser ICMP dans les deux directions (en appliquant des listes d'accès aux interfaces source et destination) ou vous aurez à valider le moteur d'inspection ICMP. Le moteur d'inspection ICMP traite les sessions ICMP comme des liaisons bidirectionnelles. Exécutez ces étapes pour bloquer les ports lesquelles s'appliquent usuellement au tra- fic qui est issu de l'intérieur (zone de sécurité élevée) vers la DMZ (zone de sécurité plus basse) ou de la DMZ vers l'extérieur. ccnp_cch

5 Configuration de l'ouverture des ports
1. Créez une liste de contrôle d'accès de telle manière que vous bloquez le trafic pour le port spécifié. access−list <name> deny <protocol> <source−network/source IP> <source−netmask> <destination−network> <destination−netmask> eq <port number> access−list <name> permit ip any any Ensuite liez l'access-list avec la commande access-group pour qu'elle soit active access−group <access list name> in interface <interface name> Exemples: Bloquer le trafic du port HTTP : Dans le but de bloquer l'accès http (serveur web) à l'adresse IP placé dans le réseau de la DMZ depuis le réseau interne , créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp host eq 80 ciscoasa(config)#access−list 100 extended permit ip any any ciscoasa(config)#access−group 100 in interface inside Note: utilisez no suivi des commandes access-list pour retirer le blocage de port Bloquer le trafic du port FTP : Dans le but de bloquer l'accès ftp (serveur ftp) à l'adresse IP placé dans le réseau de la DMZ depuis le réseau interne , créez l'ACL suivante: ciscoasa(config)#access−list 100 deny tcp host eq ftp Configuration de l'ouverture des ports L'appliance de sécurité n'autorise aucun trafic entrant à moins que celui-ci soit expli- citement permis par une liste d'accès étendue. Si vous voulez autoriser un host externe à accéder à un host interne, vous pouvez ap- pliquer une liste d'accès sur l'interface externe. Vous devez spécifier l'adresse traduite du host interne dans la liste d'accès car l'adresse traduite est l'adresse qui est utilisée sur le réseau externe. Exécutez ces étapes pour ouvrir les ports de la zone de sécurité la plus basse vers la plus élevée. Par exemple autoriser le trafic depuis l'extérieur (zone de sécurité la plus basse) vers l'interface interne (zone de sécurité la plus élevée) ou de la DMZ vers l'in- terface interne. ccnp_cch

6 1. Le NAT statique crée une traduction fixe entre une adresse réelle et une adresse mappée. Cette adresse mappée est une adresse publique Internet utilisée pour ac céder au serveur d'application dans la DMZ sans avoir à connaître l'adresse réelle du serveur static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access−list access_list_number} 2. Créez une ACL pour permettre le trafic sur le port spécifié access−list <name> permit <protocol> <source−network/source IP> <source−netmask> <destination−netwok/destination IP> <destination−netmask> eq <port number> 3. Liez la liste d'accès avec la commande access-group pour qu'elle soit active. access−group <access−list name> in interface <interface name> Exemples: Ouvrir le trafic pour le port SMTP: Ouvrir le port 25 pour autoriser les hosts ex ternes (Internet) à accéder au serveur mail placé dans le réseau de la DMZ La commande static fait correspondre l'adresse externe à l'adresse réelle DMZ ciscoasa(config)#static (DMZ,Outside) netmask ciscoasa(config)#access−list 100 permit tcp any host eq 25 ciscoasa(config)#access−group 100 in interface outside 2. Ouvrir le trafic pour le port HTTPS: Ouvrir le port tcp 443 pour autoriser les hosts externes (Internet) à accéder au serveur web (sécurisé) placé dans le réseau de la DMZ ciscoasa(config)#static (DMZ,Outside) ciscoasa(config)#access−list 100 permit tcp any host eq 443 3. Autoriser le trafic DNS: Ouvrir le port udp 53 pour autoriser les hosts externes (Internet) à accéder au serveur DNS (sécurisé) placé dans la DMZ ciscoasa(config)#static (DMZ,Outside) ciscoasa(config)#access−list 100 permit udp any host eq 53 ccnp_cch

7 Vérification Vous pouvez vérifier la configuration avec les commandes show suivantes: ● show xlate - Affiche les informations sur les traductions courantes. ● show access−list - Affiche les listes d'accès avec les compteurs de passage ● show logging - Affiche les logs présents dans le buffer. ccnp_cch


Télécharger ppt "Sécurité - ASA7.x/PIX 6.x et plus"

Présentations similaires


Annonces Google