Voici un message d’invité envoyé par Don Crawley, auteur de la série de livres d’administrateur accidentel. C’est un extrait de son dernier : L’administrateur accidentel : Cisco ASA Security Appliance : Guide de configuration étape par étape
Il y a littéralement des milliers de commandes et de sous-commandes disponibles pour configurer une appliance de sécurité Cisco. Au fur et à mesure que vous acquerrez des connaissances sur l’appliance, vous utiliserez de plus en plus de commandes. Au départ, cependant, il n’y a que quelques commandes nécessaires pour configurer les fonctionnalités de base sur l’appliance. La fonctionnalité de base est définie comme permettant aux hôtes internes d’accéder aux hôtes externes, mais ne permettant pas aux hôtes externes d’accéder aux hôtes internes. De plus, la gestion doit être autorisée à partir d’au moins un hôte interne. Pour activer les fonctionnalités de base, il existe huit commandes de base (ces commandes sont basées sur la version du logiciel 8.3(1) ou supérieure):
- interface
- nomif
- niveau de sécurité
- adresse IP
- accès au port de commutation
- réseau d’objets
- nat
- route
interface
La commande interface identifie l’interface matérielle ou l’interface virtuelle du commutateur (interface VLAN) qui sera configurée. Une fois en mode de configuration d’interface, vous pouvez affecter des interfaces physiques aux ports de commutation et les activer (les activer) ou vous pouvez attribuer des noms et des niveaux de sécurité aux interfaces VLAN.
nameif
La commande nameif donne un nom à l’interface et attribue un niveau de sécurité. Les noms typiques sont à l’extérieur, à l’intérieur ou DMZ.
niveau de sécurité
Les niveaux de sécurité sont des valeurs numériques, allant de 0 à 100, utilisées par l’appliance pour contrôler le flux de trafic. Le trafic est autorisé à circuler des interfaces avec des niveaux de sécurité plus élevés vers des interfaces avec des niveaux de sécurité inférieurs, mais pas l’inverse. Les listes d’accès doivent être utilisées pour permettre au trafic de passer de niveaux de sécurité inférieurs à des niveaux de sécurité plus élevés. Le niveau de sécurité par défaut pour une interface extérieure est 0. Pour une interface interne, le niveau de sécurité par défaut est 100. Dans l’exemple de configuration suivant, la commande d’interface est d’abord utilisée pour nommer les interfaces VLAN internes et externes, puis l’interface DMZ est nommée et un niveau de sécurité de 50 lui est attribué. nom de l’interface vlan1si nom de l’interface intérieure vlan2si nom de l’interface extérieure vlan3si niveau de sécurité dmz 50
ciscoasa(config) #
ciscoasa(config-if) #
INFO: Niveau de sécurité pour « inside » défini sur 100 par défaut.
ciscoasa(config-if) #
ciscoasa(config-if) #
INFO: Niveau de sécurité pour « outside » défini sur 0 par défaut.
ciscoasa(config-if) #
ciscoasa(config-if) #
ciscoasa(config-if) #
adresse IP
La commande adresse IP attribue une adresse IP à une interface VLAN soit de manière statique, soit en en faisant un client DHCP. Avec les versions modernes du logiciel security appliance, il n’est pas nécessaire de configurer explicitement les masques de sous-réseau par défaut. Si vous utilisez des masques non standard, vous devez configurer explicitement le masque, sinon ce n’est pas nécessaire. interface vlan 1 adresse IP 192.168.1.1
Dans l’exemple de configuration suivant, une adresse IP est attribuée au VLAN 1, l’interface interne.
ciscoasa(config-if) #
ciscoasa(config-if))#
accès switchport
La commande d’accès switchport sur l’appliance de sécurité ASA 5505 attribue une interface physique à une interface logique (VLAN). Dans l’exemple suivant, la commande interface est utilisée pour identifier les interfaces physiques, les affecter aux ports de commutation sur l’appliance et les activer (les activer). Cette commande n’est pas utilisée sur les appliances ASA 55×0. interface ethernet 0/0 accès au port de commutation vlan 2 pas d’arrêt interface ethernet 0/1 accès au port de commutation vlan 1 pas d’arrêt
ciscoasa(config-if) #
ciscoasa(config-if) #
ciscoasa(config-if) #
ciscoasa(config-if) #
ciscoasa(config-if) #
ciscoasa(config-if) #
ciscoasa(config-if) #
obj_any de réseau d’objets
L’instruction obj_any de réseau d’objets crée un objet appelé « obj_any « . (Vous n’avez pas besoin de nommer l’objet « obj_any »; c’est un nom descriptif, mais vous pourriez tout aussi bien le nommer « Juan ».) L’option réseau indique que cet objet particulier sera basé sur des adresses IP. La commande du sous-réseau 0.0.0.0 0.0.0.0 indique qu’obj_any affectera toute adresse IP non configurée sur un autre objet.réseau d’objets obj_any sous-réseau 0.0.0.0 0.0.0.0
ciscoasa(config-if) #
ciscoasa(config-network-object) #
nat
L’instruction nat, comme indiqué ci-dessous, indique au pare-feu de permettre à tout le trafic circulant de l’intérieur vers l’interface extérieure d’utiliser dynamiquement n’importe quelle adresse ( DHCP) configuré sur l’interface extérieure.interface dynamique nat (intérieur, extérieur)
ciscoasa(config) #
route
La commande route, dans sa forme la plus basique, attribue une route par défaut pour le trafic, généralement au routeur d’un FAI. Il peut également être utilisé en conjonction avec des listes d’accès pour envoyer des types de trafic spécifiques à des hôtes spécifiques sur des sous-réseaux spécifiques. outside identifie l’interface par laquelle le trafic circulera pour atteindre la route par défaut. router outside 0 0 12.3.4.6
Dans cet exemple de configuration, la commande route est utilisée pour configurer une route par défaut vers le routeur du FAI à 12.3.4.6. Les deux zéros avant l’adresse du routeur du FAI sont des raccourcis pour une adresse IP de 0.0.0.0 et un masque de 0.0.0.0. L’instruction
ciscoasa(config-if) #
Les commandes ci-dessus créent un pare-feu très basique, cependant, l’utilisation d’un périphérique sophistiqué tel qu’une appliance de sécurité Cisco PIX ou ASA pour exécuter de telles fonctions de pare-feu de base est exagérée. nom d’hôte pour identifier le pare-feu, telnet ou SSH pour permettre l’administration à distance, commandes DHCPD pour permettre au pare-feu d’attribuer des adresses IP aux hôtes internes, et commandes de route statique et de liste d’accès pour permettre aux hôtes internes tels que les serveurs Web DMZ ou les serveurs de messagerie DMZ d’être accessibles aux hôtes Internet.
D’autres commandes à utiliser incluent
Voici un exemple de configuration de base:
Exemple de Configuration de base
ciscoasa(config) #interface vlan1
ciscoasa(config-if) #nameif inside
INFO: Niveau de sécurité pour « inside » défini sur 100 par défaut.
ciscoasa(config-if) # interface vlan2
ciscoasa(config-if) # nomsi à l’extérieur
INFO: Niveau de sécurité pour « outside » défini sur 0 par défaut.
ciscoasa(config-if) # interface ethernet 0/0
ciscoasa(config-if) # accès au port de commutation vlan 2
ciscoasa(config-if) # pas d’arrêt
ciscoasa(config-if) # interface ethernet 0/1
ciscoasa (config-if) # switchport access vlan 1
ciscoasa(config-if) # pas d’arrêt
ciscoasa(config-if) # interface vlan 2
ciscoasa(config-if) # adresse IP 12.3.4.5
ciscoasa(config-if) # interface vlan 1
ciscoasa(config-if) # adresse IP 192.168.1.1
ciscoasa(config-if) # route en dehors de 0 0 12.3.4.6
ciscoasa(config-if) # réseau d’objets obj_any
ciscoasa(config-network-object) # sous-réseau 0.0.0.0 0.0.0.0
ciscoasa(config) # interface dynamique nat (à l’intérieur, à l’extérieur)
ciscoasa(config) # exit
Extrait de L’administrateur Accidentel : Cisco ASA Security Appliance : Une étape-par- Guide de configuration des étapes par Don R. Crawley
Utilisé avec autorisation.
À propos de l’auteur
L’administrateur accidentel : Cisco ASA Security Appliance : Guide de configuration Étape par étape et Président de soundtraining.net une entreprise de formation informatique basée à Seattle, dans l’État de Washington. C’est un informaticien chevronné avec plus de 35 ans d’expérience dans la technologie pour le lieu de travail. Il détient plusieurs certifications sur les produits Microsoft, Cisco et Linux. Don peut être joint au (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley auteur de la série Accidental Administrator de livres pour les professionnels de l’informatique, y compris