Scribd
Importer
182 vues74 pages

CH9 - Asa

Transféré par

Khadija Benouaziz
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd
182 vues74 pages

CH9 - Asa

Transféré par

Khadija Benouaziz
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPTX, PDF, TXT ou lisez en ligne sur Scribd

Chapitre 9:

La mise en œuvre de l'appliance


Cisco Adaptive Security

v2.0 CCNA sécurité


1. Introduction à l'ASA
PLAN 2. Configuration du pare-feu ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Solutions ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
Modèles de pare-feu ASA
Modèles ASA Petit bureau et SUCCURSALE

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
Les modèles Edge Internet

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Les modèles Enterprise Data Center

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Fonctions avancées ASA
ASA virtualisation

• Un seul ASA peut être


partitionné en plusieurs
périphériques virtuels.
• Chaque périphérique virtuel
s'appelle un contexte de
sécurité.
• Chaque contexte est un
périphérique indépendant, doté
de sa propre politique de
sécurité, de ses interfaces et de
ses administrateurs.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
La haute disponibilité

Deux ASA identiques peuvent être associés dans une configuration de


basculement actif / en attente pour assurer la redondance des périphériques.
Les deux plates-formes doivent être identiques en termes de logiciel, de
licence, de mémoire et d'interfaces.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Pare-feu d'identité

L'ASA fournit un contrôle d'accès granulaire optionnel basé sur une


association d'adresses IP aux informations de connexion Windows Active
Directory

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
ASA contrôle des menaces

Tous les modèles


ASA prennent en
charge les
fonctionnalités
IPS de base.

Les fonctionnalités IPS avancées ne peuvent être fournies qu'en intégrant des
modules matériels spéciaux à l'architecture ASA.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Les Firewalls en conception de réseau
Les pare-feu protègent les réseaux
internes contre les accès non
autorisés par les utilisateurs qui se
trouvent sur un réseau extérieur. Ils
protègent également les utilisateurs
internes du réseau les uns des
autres.

Par exemple, en créant des zones,


un administrateur peut séparer le
réseau qui héberge les serveurs
de comptabilité des autres
réseaux d'une organisation

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Les Firewalls en conception de réseau

Les ISR Cisco peuvent fournir des fonctionnalités de pare-feu en utilisant soit
le pare-feu de stratégie basé sur la zone (ZPF), soit en utilisant l'ancienne
fonctionnalité de contrôle d'accès basé sur le contexte (CBAC). Un ASA
fournit les mêmes fonctionnalités, mais la configuration diffère nettement de la
configuration du routeur IOS du ZPF.
 
L'ASA est un typede pare-feu dédiée. Par défaut, il traite une interface interne
définie comme le réseau approuvé et toutes les interfaces externes définies
comme des réseaux non approuvés.
 
Chaque interface a un niveau de sécurité associé. Ces niveaux de sécurité
permettent à l'ASA de mettre en œuvre des politiques de sécurité.
 

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Modes de fonctionnement du pare-feu ASA
Mode routé

-Deux interfaces ou plus séparent


les réseaux de couche 3, c'est-à-dire
les domaines.
-Le mode routé prend en charge
plusieurs interfaces. Chaque
interface se trouve sur un sous-
réseau différent et nécessite une
adresse IP sur ce sous-réseau.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Modes de fonctionnement du pare-feu ASA
Mode transparent

l'ASA fonctionne comme un


périphérique de couche 2 et
n'est pas considéré comme un
saut de routeur.
Ce mode est utile pour
simplifier une configuration
réseau, ou lorsque l'adressage
IP existant ne peut pas être
modifié

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Exigences ASA relatives aux licences

Spécificités de la licence de
base

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Spécificités de la
licence Security Plus

prend en charge une


capacité de connexion
plus élevée et jusqu’à
25 utilisateurs VPN
IPsec. Il ajoute la
prise en charge
complète de la zone
démilitarisée et active
la prise en charge des
connexions
redondantes ISP et
des services haute
disponibilité actifs / en
veille

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Configuration de base ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Vue d'ensemble ASA 5505

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
Niveaux de sécurité ASA
L'ASA attribue des niveaux de
sécurité pour faire la distinction
entre les réseaux intérieurs et
extérieurs. Les niveaux de
sécurité définissent le niveau de
fiabilité d'une interface. Plus le
niveau est élevé, plus l'interface
est fiable. Les numéros de
niveau de sécurité vont de 0 (non
fiable) à 100 (très fiable). Chaque
interface opérationnelle doit avoir
Niveau de sécurité Contrôle:
un nom et un niveau de sécurité
L'accès au réseau
de 0 (le plus bas) à 100 (le plus Moteurs d'inspection
élevé). Filtrage d’Applications

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
Scénarios de déploiement ASA 5505

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
ASA déploiement dans une entreprise

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
La configuration du pare-feu ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Introduire les paramètres de base ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
La configuration par défaut

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
La Configuration Interactive ASA : Assistant
d'initialisation

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Configuration des paramètres de gestion et services

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Configuration des paramètres de base

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
Configuration des interfaces VLAN

Configuration des
adresses IP sur les
interfaces VLAN

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
Exemple :

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
Attribution des ports aux VLANs

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Vérification
Interfaces

Vérification
des adresses
IP

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Configuration d'une route statique par défaut

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
Configuration des services d'accès à distance

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
Configuration de l'accès SSH :

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
Configuration des services Network Time Protocol

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
Configuration des services DHCP

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
Groupes d'objets

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
Introduction aux objets et groupes d'objets
Un objet peut être défini avec une adresse IP particulière, un sous-réseau
complet, une plage d'adresses, un protocole, un port spécifique ou une plage
de ports. L'objet peut ensuite être réutilisé dans plusieurs configurations.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
Configuration des objets réseau

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
Configuration des objets de service

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44
Groupes d'objets

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
Configuration des groupes d'objets communs

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
ACLS

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
ASA ACLs

Il existe de nombreuses similitudes entre les ACL ASA et les ACL IOS :
• Les deux sont constitués d'ACE, traités séquentiellement de haut en bas
• Il y a un refus implicite, tout en bas.
• La règle d'une seule liste de contrôle d'accès par interface, par protocole
et par direction s'applique toujours

Les listes de contrôle d'accès ASA diffèrent des listes de contrôle d'accès
IOS en :
• Elles utilisent un masque de réseau (par exemple, 255.255.255.0) au lieu
d'un masque générique (par exemple, 0.0.0.255).
• La plupart des ACL ASA sont nommées au lieu d'être numérotées.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
Types d'ACL ASA

Par défaut, les niveaux de sécurité appliquent le contrôle d'accès sans qu'une liste de contrôle d'accès ne soit configurée.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
Types d'ACL ASA
L'ASA prend en charge plusieurs types de listes d'accès:
• Liste d'accès étendu - Le type le plus courant d'ACL. Contient un ou
plusieurs ACE pour spécifier les adresses et protocole de source et de
destination, les ports (pour TCP ou UDP) ou le type ICMP (pour ICMP).
• Liste d'accès standard - Contrairement à IOS où une ACL standard
identifie l'hôte / réseau source, les ACL standard ASA sont utilisées pour
identifier les adresses IP de destination
• Liste d'accès IPv6 - Utilisée pour déterminer le trafic IPv6 à bloquer et
le trafic à transférer aux interfaces de routeur.
• Liste d'accès EtherType - Une ACL EtherType ne peut être configurée
que si l'appliance de sécurité s'exécute en mode transparent.
• Liste d'accès de type Web - Utilisée dans une configuration prenant en
charge le filtrage pour VPN SSL sans client.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
Configuration ACLs

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
Configuration ACLs
Syntaxe ACL étendue

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
L'application des ACLs

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
Exemple Configuration et application
ACL

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
ACLs et groupes d'objets

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
ACL en utilisant des groupes d'objets
Syntaxe condensé ACL étendue avec des groupes d'objets

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
ACL en utilisant des groupes d'objets

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
Services NAT sur un ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
ASA NAT
Types de déploiements NAT:
• Inside NAT: utilisé lorsque un équipement dans le réseau interne(niveau de
sécurité elevé) envoie un trafic vers le réseau externe
• Outside NAT : utilisé lorsque un équipement dans le réseau envoie un trafic
vers le réseau interne
• NAT bidirectionnelle : les deux sont utilisés

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
Configuration dynamique NAT
Topologie de référence NAT dynamique

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
autoriser le retour
du trafic ICMP
depuis des hôtes
extérieurs.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 63
Configuration PAT

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 64
Configuration NAT statique

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
Vérification de la configuration NAT statique

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
AAA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 67
Base de données locale et serveurs Radius et
Tacacs+

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 68
Configuration AAA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 69
Les politiques de service sur un ASA

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
Vue générale de MPF(Modular Policy Framework)

Le MPF permet une classification granulaire des flux de trafic, afin


d'appliquer différentes stratégies avancées à différents flux.

La configuration (MPF) définit un ensemble de règles pour l'application de


fonctionnalités de pare-feu, telles que l'inspection du trafic et la qualité de
service, au trafic qui traverse l'ASA.

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
Configuration de la class-map

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
Définir et activer une stratégie
Mise en œuvre Cadre stratégique modulaire

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 73
ASA Politique par défaut
Configuration de la stratégie de service par défaut

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 74

Vous aimerez peut-être aussi