5506 Quick Start Guide Version 20160319a

CISCO ASA 5506 Quick Start Guide
Version 20160319a
Auteur : Patrick Cardot

1
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.
Contents
OBJECTIF DU DOCUMENT .............................................................................................................. 3
CONNEXION AU RESEAU ET PARAMETRAGE INITIAL .......................................................... 4
Pour Paramtrer lASA . ............................................................................................. 6
MODIFICATION DE LA CONFIGURATION DE SORTIE DE CARTON ................................... 8
Que faire si les onglets ASA FIREPOWER napparaissent pas ? ............................ 21
SCENARII DE DEPLOIEMENTS.................................................................................................... 23
Scnario 1 : Un seul VLAN priv pour ladministration et la production ( INSIDE ) , une
seule interface WAN ................................................................................................. 23
ACTIVATION DES SERVICES FIREPOWER ....................................................... 25
INSTALLATION DES LICENCES FIREPOWER ................................................... 27
CONTROLE DE LA SYNCHRONISATION DES HORLOGES .............................. 33
CONTROLE DE LA MISE A JOUR DES BASES DE VULNERABILITE ............... 34
CONTROLE DE LA MISE A JOUR DES Security Intelligence Feeds ............. 36
CONTROLE DE LA MISE A JOUR DES DNS et URL Feeds ......................... 37
Scnario 2 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN de
production interne ( INSIDE ) , une interface WAN .................................................. 37
Les tapes de mise en uvre. .............................................................................. 38
Scnario 3 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN de
production interne ( INSIDE ), Un VLAN DMZ, deux interfaces WAN et la fonction
double WAN Policy Based Routing active .............................................................. 42
Ajoutons les paramtres du scnario 2 ................................................................. 44
Ajoutons l'accs un Serveur DMZ ...................................................................... 44
Ajoutons le support du double Wan...................................................................... 45
Scnario 4 : Configuration IDS pur pour un audit de scurit rseau. ...................... 47
Combien dinterface est-il pertinent de mettre en coute ? ................................... 50
Configuration ASA 5506 IDS prte lemploi ........................................................ 50
CONCLUSION DE CE "Quick Start Guide" ................................................................................ 57
2
Cisco
OBJECTIF DU DOCUMENT
Ce document a pour objectif d'aider la mise en service rapide d'un ASA 5506, avec
ses services de protection Next Gen IPS ASA Firepower activs. Il dcrit l'ensemble
des tapes d'initialisation drouler pour permettre la mise en production du botier.
Un avantage du botier est de pouvoir tre mis en uvre sous plusieurs modes de
dploiements. Ce qui le rend trs adaptable tout contexte de sites ou dutilisations.
Il nest pas seulement conu pour de petits sites distants. Tout comme les autres
modles de la gamme ASA. il pourrai tout fait tre utilis sur site de concentration,
au sein dun rseau de campus, ou dans larchitecture dun Datacenter.
Les modes dploiement les plus habituels pour ce botier sont :
Protection de laccs INTERNET dun petit site on dun site distant

Gestion de laccs INTERNET dun site, avec redondance de liens WANs, gestion
de laccs une DMZ prive, Mise disposition dun portail daccs distant VPN
SSL
Mode analyse de scurit . Qui correspond la mise en place dune solution
dobservation ( ou de surveillance ) de ltat de scurit dun systme dinformation.
Dans ce document nous vous proposons de dtailler le paramtrage initial raliser

dans un ASA 5506 pour chacun de ces modes de dploiements.
Quel que soit le mode de dploiement, les tapes de mise en uvre sont toujours les
mmes et sont toujours les suivantes :
Etape 1 - Connexion au rseau et Paramtrage initial

Etape 2 - Tests daccs administrateurs et test daccs INTERNET
o Test accs SSH
o Test accs ASDM
o Test de navigation INTERNET
Etape 3 - Initialisation des services NGIPS Firepower
Etape 4 Activation des licences Firepower Services
o Vrification de ltat des licences
Etape 5 Mise jour des bases de vulnrabilit
o Vrification de ltat des mises jour de signatures
Etape 6 Paramtrage dune politique de scurit basique ( non couvert dans ce
document )
o Tests de bon fonctionnement de la politique
Test de filtrage URL
Test de filtrage de fichiers
Test blocage dune attaque rseau
Etape 7 gnration dun rapport ( non couvert dans ce document )
3
Cisco
CONNEXION AU RESEAU ET PARAMETRAGE INITIAL

Le dmarrage de lASA 5506 ncessite une connexion INTERNET fonctionnelle, qui
permet lactivation des licences Firepower, et le tlchargement initial des mises jour
des bases de vulnrabilit. Cette mise jour est obligatoire dans la mesure ou aucune
base de signature nest installe pralablement.
Une fois ces bases de signatures mises jour, le botier peut tre install ( dans des
phases de tests ) sans ncessiter obligatoirement une connexion INTERNET.
La mise en situation propose dans ce paragraphe consiste effectuer les
raccordements rseaux minimum ncessaires la mise en service de lASA 5506. Un
paramtrage initial de sortie de carton nous permettra une prise en, main rapide
du boitier. Pour des raisons qui seront expliques plus loin, nous modifierons la
configuration par dfaut du boitier.
La topologie rseau que nous allons cbler pour dmarrer lASA 5506 est la suivante :
Comme le montre le schma ci-dessus
Vous connecterez votre ASA 5506 au rseau INTERNET en utilisant le port

Ethernet Gigabitethernet 1/1 ( port outsite ). Il peut tre raccord directement la
connexion INTERNET, ou il peut y tre raccord travers un quipement daccs
tel quune BOX INTERNET.
Vous connecterez le port Gigabitethernet 1 / 2 ( port inside ) ainsi que le port
Management 1/1 de lASA 5506 sur un switch Ethernet. Remarque : Il est
obligatoire que le port de management soit connect au mme LAN que le port
inside.
Sur ce mme switch sera galement connect un ordinateur qui servira au
paramtrage du botier ainsi quaux diffrents tests de connectivit.
4
Cisco
NOTE :
Le paramtrage que vous allez raliser consiste configurer le port INTERNET de
lASA 5506 ( outside ) de manire ce quil puisse sauto-configurer en paramtrage
IP DHCP. Ceci permettra lASA 5506 de rcuprer sur son interface outside une
adresse IP, mais galement le paramtrage DNS fourni par le fournisseur daccs
INTERNET. Un paramtrage Port Address Translation est appliqu sur ce port ce qui
permet le masquage des adresses IP prives.
Du ct du rseau priv, lASA fournira aux ordinateurs connects au switch une
adresse IP dans le sous rseau IP 192.168.100.0 / 24 ainsi que le paramtrage IP
ncessaire laccs INTERNET.
Dautre part, les accs administrateurs lASA 5506 seront activs en HTTPS ainsi
quen SSH, que ce soit pour le firewall, ou pour les services NGIPS Firepower.
Une fois termin, ce paramtrage doit vous permettre :
De vous connecter INTERNET en traversant lASA 5506

De vous connecter lASA en tant quadministrateur via le protocole SSH avec un
mulateur de terminal, ou via le protocole HTTPS via un navigateur INTERNET.
Davoir accs aux services NGIPS Firepower de lASA5506.
Les administrateurs habitus au paramtrage dun ASA, remarqueront le fait que

nous remplaons compltement la configuration par dfaut de lquipement, par une
nouvelle configuration avec laquelle le port de Management de lASA ne dispose pas
dadresse IP.
De quoi avez-vous besoins ?
Dun Switch
5
Cisco
Dun ordinateur quip dun navigateur INTERNET, et dun mulateur de Terminal

VT 100 ( PUTTY par exemple )
Du cble bleu Cisco port srie RS 232
Dun adaptateur USB RS232 pour votre laptop
Pour Paramtrer lASA .

Comme tout quipement rseau Cisco, le paramtrage dun ASA5506 est possible en
utilisant un port console RS-232. Vous utiliserez ce port console pour le paramtrage
initial du botier.
Une fois fait, la connexion console ne sera plus ncessaire et pourra tre laisse de
ct.
Raccordez le cble console bleu Cisco votre adaptateur USB RS-232 et Connectez
le port Console lASA 5506. Lancez votre mulateur de terminal et entrez en
paramtrage console.
Le paramtrage du port srie effectuer pour permettre un dialogue RS-232 avec un

quipement Cisco est ( vitesse = 9600 bauds, 8 bits, Parit = Non , 1 bit de stop (
9600, 8N1 ).
Une fois connect lASA , Taper une fois sur la touche [ Enter ] pour obtenir le
prompt :
ciscoasa>
Puis taper la commande enable
6
Cisco
ciscoasa>enable
Le prompt Password apparat
Password :
Aucun mot de passe nest ncessaire. Appuyez de nouveau sur la touche [ Enter ]
Et le prompt du mode "enable" apparat
ciscoasa#
A partir de l , vous tes logu en tant quadministrateur sur lASA, vous pourrez
ensuite passer en mode configure terminal pour taper une par une lensemble des
commandes qui permettent de basculer le botier dans une des quatre configurations
initiales parmi celles qui sont proposes plus loin dans ce document.
Restez connect ainsi, vous aurez besoin de la console RS-232 un peu plus tard.
Remarque : LASA arrive avec une configuration par dfaut, une configuration de
sortie de carton qui permet au minimum sa prise en main en HTTPS avec loutil
dadministration graphique ASDM.
Cette configuration par dfaut vous servira de point de dpart et nous permettra de
basculer dans un deuxime temps sur un des 4 scenarii de dpart.
Ensuite, une fois en place dans son environnement rseau, avec sa configuration de
dpart, lASA pourra tre paramtr distance travers le rseau. Son paramtrage
final pourra ainsi tre finalis distance.
Voici les scnarii de dpart proposs .
1. Scnario 1 : Un seul VLAN interne pour la fois ladministration et la production.
Une seule interface Wan

2. Scnario 2 : Un VLAN ddi ladministration ( Management ), Un VLAN de
production interne ( INSIDE ) , une interface WAN

3. Scnario 3 : Un VLAN ddi ladministration ( Management ), Un VLAN de
production interne ( INSIDE ) Un VLAN DMZ, deux interfaces WAN et la

fonction double WAN Policy Based Routing active
4. Scnario 4 : Configuration IDS pur pour une analyse de scurit rseau.
Remarque : Beaucoup dautres scnarii sont possibles. Mais les quatre scnarii
proposs couvrent un trs grand nombre dapplications courantes de lASA 5506.
7
Cisco
Nous allons maintenant dtailler chacun de ces scenarii.
MODIFICATION DE LA CONFIGURATION DE SORTIE DE CARTON
Le schma ci-dessus reprsente la topologie rseau dans laquelle un ASA 5506 serait
prt tre dploy ds sa sortie de carton. Ce paramtrage nest pas tout fait adapt
une mise en production relle.
En effet la quasi-totalit des paramtres rseau doivent tre modifis pour permettre
une intgration de lASA5506 dans son environnement de production. Toutefois, cette
configuration par dfaut aide au dmarrage initial du boitier.
En sortie de carton, seul le port Gigabitethernet 1 / 2 est paramtr. Son adresse IP
est ladresse 192.168.1.1/24 et un serveur DHCP est activ sur cette interface. Toutes
les autres interfaces sont administrativement inactives et aucun paramtrage IP nest
effectu dessus.
En ce qui concerne les Services Firepower, ceux-ci sont pr chargs mais pas
installs. Une des premires oprations raliser est donc de terminer leur
installation.
8
Cisco
Cest donc assez logiquement que lon peut connecter son PC administration avec un
cble Ethernet sur le port Gigabitethernet 1 / 2. Et plutt que de connecter le PC
directement sur le port Gigabitethernet 1 / 2 avec un cble Ethernet, on va connecter
le port de lASA ainsi que le PC sur un Switch. Nous allons connecter galement le
port Management 1/1 ce switch comme le montre limage ci-dessous.
Une fois le PC dadministration connect, vrifiez quune adresse IP lui a bien t

alloue ( ex : 192.168.1.2 ).
A ce stade, laccs administrateur lASA5506 peut se faire via ladministration ASDM
( Adaptative Security Device Manager ). Et ce sans nom dutilisateur ni mot de passe.
9
Cisco
Laccs administrateur se fait en ouvrant son navigateur INTERNET sur lURL

https://192.168.1.1
Remarque, les accs telnet et SSH ne sont pas actifs par dfaut. Aucune session
dadministration SSH nest possible tant que celle-ci na pas t paramtre.
Au prompt dauthentification laissez les champs dditions user et password vides. Et
vous devriez visualiser la progression du dmarrage dASDM.
ACTION
RESULTAT
https://192.168.1.1
Rsultat attendu : Vous devriez voir la page daccueil de lASA qui vous propose de
lancer ou dinstaller ASDM ( Adaptative Security Device Manager ).
Le bouton [ Run ASDM ] doit apparatre et le fait de cliquer dessus doit lancer lapplet
ASDM. ( Rq : Si il napparat pas ceci est probablement d au fait que la machine Java
JRE nest pas installe sur votre ordinateur ). Dans ce cas une invite avec un lien URL
vous propose dinstaller la Machine Java
Remarque : Un blocage de scurit provoqu par votre navigateur peut galement
survenir. Dans un tel cas modifiez les paramtres de scurit de votre navigateur pour
permettre aux contenus Java de sexcuter. Vous aurez ventuellement modifier
galement les paramtres de lapplication Java pour lui permettre de sexcuter.
Action : Lancez ASDM
ACTION
RESULTAT
Cliquer sur le bouton [ RUN ASDM ]
10
Cisco
UserID = aucun
Mot de Passe = aucun
11
Cisco
RESULTAT ATTENDU
Seulement 3 onglets apparaissent en
haut de la page daccueil principale.
Remarque : 2 onglets [ Firepower
Services ] manquent.
Une fois logu, les oprations qui suivent immdiatement sont en principe, la dfinition
des droits dadministration ( ASDM, Telnet, SSH ), linitialisation des services
Firepower mais aussi, la scurisation complte des accs administrateurs, leur
surveillance.
Toutes ces oprations peuvent tre droules partir du setup wizard ASDM de
lASA5506. Ce setup Wizard est accessible dans le menu [ tools ] dASDM.
Nous vous prsentons volontairement le dmarrage initial de votre ASA 5506 en ligne
de commande. Cette mthode a pour avantage de donner un aperu en profondeur
de linstallation dun Cisco ASA et permettra de comprendre par la mme occasion,
une installation complte en partant de rien. Autre avantage, cette mthode permet un
dmarrage trs rapide du boitier.
Nous vous proposons donc de laisser de ct temporairement ladministration
graphique ASDM pour effectuer quelques oprations dinitialisation en ligne de
commande.
Vous tes toujours connect la console RS-232 de lASA.
Une fois logu lASA 5506, nous allons complter son paramtrage par dfaut par
lajout de lauthentification des administrateurs. Nous utiliserons le nom
dadministrateur : admin et le mot de passe : cisco.
Nous allons confirmer lactivation de ladministration ASDM par le port de
Gigabitethernet 1 / 2.
Dmarrez une session console utilisant ces paramtres laide de votre mulateur de
terminal et effectuez le paramtrage suivant :
12
Cisco
ciscoasa>enable
password : { taper ENTER il ny a aucun password }
ciscoasa#
Utilisez ensuite la commande ci-dessous.

ciscoasa#configure terminal
ciscoasa(config)#configure factory-default 192.168.100.1
255.255.255.0
Grce cette commande vous allez re initialiser le paramtrage par dfaut de lASA
5506. Vous allez remplacer ladresse IP de linterface inside ( Gigabitethernet 1/2
192.168.1.1 ) par ladresse IP 192.168.100.1. De plus, les autorisations daccs ASDM
lASA, ainsi que le paramtrage du serveur DHCP seront galement modifis en
consquence.
Remarque : La raison de cette modification est ventuellement viter un conflit
dadresses IP dans le cas o lASA serait raccord une box INTERNET qui fournit
elle aussi une adresse de sous rseau IP interne 192.168.1.0 / 24.
Aprs avoir tap la commande de reconfiguration, et une fois le prompt de lASA de
nouveau disponible, Vous allez maintenant ajouter lauthentification de
ladministrateur, et vous allez activer les accs administrateurs ssh ?
ciscoasa# configure terminal

ciscoasa(config)#
Au prompt configure terminal, tapez lune aprs lautre les commandes suivantes :
Vous pouvez copier/coller toute ces configurations dans la console RS-232.
conf term
!
username admin password cisco privilege 15
crypto key generate rsa modulus 2048
yes
!
domain cisco.com
ssh 192.168.100.0 255.255.255.0 inside
enable password cisco
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
13
Cisco
aaa authentication ssh console LOCAL

dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
dhcpd dns 8.8.8.8
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege cmd level 3 mode exec command packet-tracer
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
14
Cisco
privilege show level 3 mode configure command ip

privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
!
end
Sauvegardez cette configuration
ciscoasa# write memory

Building configuration...
Cryptochecksum: c7ed5ceb 1adaf528 8e928309 24a8f522
6646 bytes copied in 0.190 secs
[OK]
ciscoasa#
A ce stade vous pouvez renouveler ladresse IP du PC dadministration et vous pouvez

tester la connectivit rseau avec lASA en vous loguant de nouveau sur ASDM en
utilisant la nouvelle adresse IP dinterface Management ( https://192.168.100.1 ).
15
Cisco
Dans linterface ASDM, vous devriez voir de nouveau 3 onglets au-dessus de la fentre
principale. 3 onglets sur un total attendu de 5. Il manque 2 onglets [ Firepower Service
].
Si seuls 3 onglets apparaissent, comme on le voit sur la copie dcran ci-dessus, ceci
confirme que vous navez pas accs aux services Firepower. En effet les onglets [
Firepower Services ] sont absents de linterface graphique.
A linstallation, Les services doivent tre activs. Voici ci-dessous les oprations
drouler en ligne de commande, pour activer ces services.
Commencez par vrifier ltat du module Firepower ( dsign sfr dans lASA ).
ciscoasa5506# sh module sfr details
Getting details from the Service Module, please wait...
Card Type:
FirePOWER Services Software Module
Model:
ASA5506
Hardware version: N/A
Serial Number:
JAD190500JR
Firmware version: N/A
Software version: 5.4.1-211
MAC Address Range: 5087.89fc.886e to 5087.89fc.886e
App. name:
ASA FirePOWER
App. Status:
Up
16
Cisco
App. Status Desc: Normal Operation

App. version:
5.4.1-211
Data Plane Status: Up
Console session: Ready
Status:
Up
DC addr:
No DC Configured
Mgmt IP addr:
192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway:
0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true
Comme on peut le voir dans le rsultat de la commande show module sfr detail. Le
module est bien prsent, il est en status : UP / Console Session : Ready. On notera
que le module Firepower met plusieurs minutes dmarrer, et finit de booter bien
aprs lOS de lASA. Ceci sera indiqu dans le rsultat de la commande show. Et
aucune connexion console ne sera possible tant que le statut du module nest pas :
UP.
Une fois le module disponible, il est possible de se loguer dessus.
REMARQUE ! : ladresse IP par dfaut du module Firepower est ladresse
192.168.45.45. Cette adresse doit absolument tre modifie sous peine de ne pas
pouvoir accder ladministration du module depuis ASDM. Cest notamment ce que
vous allez faire dans linitialisation du module Firepower. Vous allez affecter au
module Firepower ladresse IP 192.168.100.2.
Vous tes en console sur lASA.
ciscoasa5506# session sfr

Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA5506 v5.4.1 (build 211)
Sourcefire3D login: admin
Password: [ taper le mot de passe par dfaut : Sourcefire ]
Copyright 2004-2015, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Linux OS v5.4.1 (build 12)
You must accept the EULA to continue.

Press <ENTER> to display the EULA: [ taper ENTER ]
END USER LICENSE AGREEMENT
IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT
CAREFULLY. IT IS VERY
IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO
SOFTWARE OR EQUIPMENT
FROM AN APPROVED SOURCE AND THAT YOU, OR THE ENTITY YOU
17
Cisco
REPRESENT
(COLLECTIVELY, THE "CUSTOMER") HAVE BEEN REGISTERED AS THE END
USER FOR THE
PURPOSES OF THIS CISCO END USER LICENSE AGREEMENT. IF YOU ARE
NOT REGISTERED
AS THE END USER YOU HAVE NO LICENSE TO USE THE SOFTWARE AND THE
LIMITED
WARRANTY IN THIS END USER LICENSE AGREEMENT DOES NOT APPLY.
ASSUMING YOU HAVE
PURCHASED FROM AN APPROVED SOURCE, DOWNLOADING, INSTALLING OR
USING CISCO OR
CISCO-SUPPLIED SOFTWARE CONSTITUTES ACCEPTANCE OF THIS
AGREEMENT.
CISCO SYSTEMS, INC. OR ITS SUBSIDIARY LICENSING THE SOFTWARE
INSTEAD OF CISCO
SYSTEMS, INC. ("CISCO") IS WILLING TO LICENSE THIS SOFTWARE TO YOU
ONLY UPON
THE CONDITION THAT YOU PURCHASED THE SOFTWARE FROM AN
APPROVED SOURCE AND THAT
YOU ACCEPT ALL OF THE TERMS CONTAINED IN THIS END USER LICENSE
AGREEMENT PLUS
ANY ADDITIONAL LIMITATIONS ON THE LICENSE SET FORTH IN A
SUPPLEMENTAL LICENSE
AGREEMENT ACCOMPANYING THE PRODUCT OR AVAILABLE AT THE TIME OF
YOUR ORDER
(COLLECTIVELY THE "AGREEMENT"). TO THE EXTENT OF ANY CONFLICT
BETWEEN THE
TERMS OF THIS END USER LICENSE AGREEMENT AND ANY SUPPLEMENTAL
LICENSE
AGREEMENT, THE SUPPLEMENTAL LICENSE AGREEMENT SHALL APPLY. BY
DOWNLOADING,
INSTALLING, OR USING THE SOFTWARE, YOU ARE REPRESENTING THAT YOU
PURCHASED THE
SOFTWARE FROM AN APPROVED SOURCE AND BINDING YOURSELF TO THE
AGREEMENT. IF
Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES

System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password: [ Entrer ici votre nouveau mot de passe daccs
Firepower ex : Cisco123 ]
Confirm new password: [ ex : Cisco123 ]
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: Y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:
192.168.100.2 ( par exemple )
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface []:
192.168.100.1 ( adresse IP de linterface de Management de
lASA5506 )
Enter a fully qualified hostname for this system [Sourcefire3D]:
18
Cisco
Enter a comma-separated list of DNS servers or 'none' []: none

Enter a comma-separated list of search domains or 'none' [example.net]:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
Applying 'Default Allow All Traffic' access control policy.
A partir de cette tape Attendre quelques minutes ( 5 minutes ) jusquau retour du
prompt ci-dessous.
You can register the sensor to a Defense Center and use the Defense Center
to manage it. Note that registering the sensor to a Defense Center disables
on-sensor FirePOWER Services management capabilities.
When registering the sensor to a Defense Center, a unique alphanumeric
registration key is always required. In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
A ce stade, le module Firepower est install ( sans ses licences ) quelques contrles
peuvent permettre de vrifier son tat. Il est possible par exemple de vrifier le
paramtrage IP des interfaces avec la commande show ifconfig.
> show ifconfig
cplane Link encap:Ethernet HWaddr 00:00:00:02:00:01
inet addr:127.0.2.1 Bcast:127.0.255.255 Mask:255.255.0.0
inet6 addr: fe80::200:ff:fe02:1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5514 errors:0 dropped:0 overruns:0 frame:0
TX packets:1143 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:331077 (323.3 Kb) TX bytes:101824 (99.4 Kb)
eth0
Link encap:Ethernet HWaddr 50:87:89:FC:88:6E

inet addr:192.168.100.2 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::5287:89ff:fefc:886e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX bytes:11186 (10.9 Kb) TX bytes:866 (866.0 b)
lo
Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.255.255.0
inet6 addr: ::1/128 Scope:Host
19
Cisco
UP LOOPBACK RUNNING MTU:16436 Metric:1

RX bytes:5969244 (5.6 Mb) TX bytes:5969244 (5.6 Mb)
>
Pour quitter la console du module Firepower et revenir la console de lASA vous

pouvez taper la commande logout :
> logout
Remote card closed command session. Press any key to continue.
Command session with module sfr terminated.
ciscoasa#
Remarque : pour quitter la session avec le module Firepower, vous pouvez

galement utiliser la squence touche suivante : Ctrl+^ (Ctrl+shift+6) puis la touche 'x'
On peut vrifier ltat du module partir de ladministration console de lASA :
ciscoasa5506# sh module sfr detail
Getting details from the Service Module, please wait...
Card Type:
FirePOWER Services Software Module
Model:
ASA5506
Hardware version: N/A
Serial Number:
JAD190500JR
Firmware version: N/A
Software version: 5.4.1-211
MAC Address Range: 5087.89fc.886e to 5087.89fc.886e
App. name:
ASA FirePOWER
App. Status:
Up
App. Status Desc: Normal Operation
App. version:
5.4.1-211
Data Plane Status: Up
Console session: Ready
Status:
Up
DC addr:
No DC Configured
Mgmt IP addr:
192.168.100.2
Mgmt Network mask: 255.255.255.0
Mgmt Gateway:
192.168.100.1
Mgmt web ports: 443
Mgmt TLS enabled: true
ciscoasa5506#
Dans la pratique, partir de cette tape il sera inutile de revenir au pilotage en ligne
de commande du module Firepower. Toutes les oprations suivantes pourront
entirement tre faites partir de linterface dadministration graphique ASDM.
Ltape suivante est une tape de contrle qui consiste vrifier que le pilotage lASA
est compltement possible partir de ladministration graphique ASDM. Nous avons
20
Cisco
besoin de vrifier que non seulement ladministration ASDM est possible, mais quil
est possible galement de piloter les services Firepower.
Pour cela ouvrez de nouveau votre navigateur sur ladresse : https://192.168.100.1.
Une fois logu, vrifiez que les 3 onglets [ Firepower Services ] apparaissent. Vous
devez avoir un total de 5 onglets de menus.
Que faire si les onglets ASA FIREPOWER napparaissent pas ?

Si les onglets ASA FIREPOWER napparaissent pas, ceci est d un chec de
communication entre lASA et les services NGIPS Firepower. Ceci est d :
Soit au fait que FIREPOWER nest pas initialis. Ceci est le cas au dballage
du carton dans ce cas relancer le setup Wizard ou redmarrez manuellement
FIREPOWER en ligne de commande.
Soit au fait que le module Firepower na pas encore boot . Notamment au
dmarrage de lASA. LOS ASA dmarre beaucoup plus vite que le module
Firepower. Aprs le dmarrage de lASA, il convient dattendre entre 3 et 5
minutes avant de se connecter au module Firepower.
Soit un chec dauthentification. Dans ce cas relancer le setup Wizard ou
redmarrez manuellement FIREPOWER en ligne de commande.
Soit au fait que linterface de Management 1/1 ne soit pas raccorde
physiquement laide dun cble ethernet au mme LAN que le port
Gigabitethernet 1 / 2.
Soit au fait que ladresse IP de FIREPOWER ne soit pas dans le mme sous
rseau IP que ladresse IP qui sert administrer lASA et qui est en loccurrence
ladresse IP affecte linterface Gigabitethernet 1 / 2. Dans ce cas relancez le
setup Wizard ou modifiez manuellement ladresse IP de FIREPOWER
21
Cisco
Si la cause dchec de communication est une mauvaise correspondance de ladresse

IP de linterface interne Firepower, vous pouvez rapidement modifier cette adresse IP
en vous loguant de nouveau en administration console lASA et au module
Firepower. Puis ensuite taper la commande suivante :
configure network ipv4 manual <ipaddr> <netmask> <gw>

[interface]
Par exemple :
ciscoasa5506# session sfr
Opening command session with module sfr.
Password: [ taper le mot de passe par dfaut : Sourcefire ]
>
Configure Network IPv4> configure network ipv4 manual 192.168.100.2 255.255.255.0
192.168.100.1
DNS
Configuration
has
changed
at
/usr/local/sf/lib/perl/5.10.1/SF/NetworkConf/NetworkSettings.pm line 1440.
Setting IPv4 network configuration.
Network settings changed.
Configure Network IPv4>
NEXT STEP
La suite de ce document propose trois scnarii de mise en uvre du botier qui
peuvent servir de points de dpart pour la mise en production relle :
Scnario 1 : Un seul VLAN interne pour ladministration et le rseau de production.

Une seule interface Wan
Scnario 2 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN
de production interne ( INSIDE ) , une interface WAN
Scnario 3 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN
de production interne ( INSIDE ) Un VLAN DMZ, deux interfaces WAN et la fonction
double WAN Policy Based Routing active
Scnario 4 : Configuration IDS pur pour un audit de scurit rseau.
22
Cisco
SCENARII DE DEPLOIEMENTS
Scnario 1 : Un seul VLAN priv pour ladministration et la production (
INSIDE ) , une seule interface WAN
Ce premier scnario correspond la mise en place dun service simple de protection
de laccs INTERNET dun petit site. Cest le scnario de mise en production le plus
simple.
Cest le scnario dans lequel vous tes si vous avez droul les tapes du paragraphe
prcdent.
Le schma ci-dessous prsente la topologie de rseau cre par le paramtrage qui
est charg dans le boitier.
Dans ce scnario le rseau interne est compos dun VLAN unique matrialis par un
switch LAN. Ce VLAN joue le rle la fois de VLAN de production interne et de VLAN
de Management.
On notera les adaptations suivantes : Le port de Management 1/1 de lASA ne dispose
pas dadresse IP. Ladministration de lASA se fera via ladresse IP affecte
linterface INSIDE ( 192.168.100.1 / 24 dans lexemple ). On notera galement que
linterface interne du module Firepower a son adresse IP dans le mme sous rseau
IP que linterface INSIDE ( savoir 192.168.100.2 / 24 dans notre exemple ).
Et on notera de plus que cette adresse IP ne peut tre joignable depuis le rseau qu
partir du port Management 1/1 de lASA 5506. Ceci explique pourquoi linterface
Management de lASA 5506 est galement raccorde au switch LAN. Ce
raccordement est obligatoire. Sous peine de ne pas voir les onglets Firepower
Services dans ladministration graphique ASDM.
Pour finir, lASA est raccord INTERNET via un unique port WAN qui est le port
GigabitEthernet 1/1. Ce port ngocie son paramtrage rseau en DHCP.
Le paramtrage de lASA 5506 doit en principe vous permettre :
-
De vous connecter INTERNET en traversant lASA 5506

23
Cisco
De vous connecter lASA en tant quadministrateur via le protocole SSH avec

un mulateur de terminal, ou via le protocole HTTPS via un navigateur
INTERNET.
Davoir accs aux services NGIPS Firepower de lASA5506.
Si vous avez droul les tapes du chapitre prcdent (Modification de la configuration

de sortie de carton ), vous avez pu vrifier les 2 derniers points.
Vous allez vrifier maintenant que laccs INTERNET est possible travers lASA
depuis le PC dadministration. Et que cet accs est possible galement pour lASA
5506 lui-mme.
Remarque : Le paramtrage ASA pour ce scnario est celui qui est dcrit dans le
chapitre prcdent. Si vous ne lavez pas encore fait, vous devez drouler toutes les
tapes de configuration du chapitre: Modification de la configuration de sortie de
carton.
La connexion INTERNET est obligatoire ce stade de la mise en uvre du boitier.
Elle va permettre lactivation des licences Firepower, ainsi que la mise jour des bases
de donnes de vulnrabilit.
A partir de la console RS 232 lASA effectuez les vrifications qui permettent de
confirmer le bon fonctionnement de laccs INTERNET
ciscoasa# sh int outside
Interface GigabitEthernet1/1 "outside", is up, line protocol is up
Hardware is Accelerator rev01, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
Input flow control is unsupported, output flow control is off
MAC address 84b8.0277.09d0, MTU 1500
IP address 192.168.1.14, subnet mask 255.255.255.0
17 packets input, 2107 bytes, 1 no buffer
Received 9 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
4 packets output, 21448 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (1007/1007)
output queue (blocks free curr/low): hardware (1023/1022)
Traffic Statistics for "outside":
16 packets input, 1747 bytes
4 packets output, 1756 bytes
8 packets dropped
1 minute input rate 0 pkts/sec, 11 bytes/sec
1 minute output rate 0 pkts/sec, 28 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
ciscoasa# sh route
24
Cisco
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
S*
C
L
0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside

192.168.1.0 255.255.255.0 is directly connected, outside
192.168.1.14 255.255.255.255 is directly connected, outside
ciscoasa# ping www.cisco.com

^
ERROR: % Invalid Hostname
ciscoasa#
La rsolution DNS est obligatoire. Si celle-ci de fonctionne pas vrifiez que vous avez
bien dans la configuration de lASA des lignes de commandes similaires celles-cidessous. Remplacez ladresse 8.8.8.8 par ladresse IP de votre serveur DNS.
ciscoasa# conf term

ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# dns server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 8.8.8.8
ciscoasa(config-dns-server-group)# end
ciscoasa#
ciscoasa# ping www.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.3.208.169, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 80/82/90 ms
ciscoasa#
ACTIVATION DES SERVICES FIREPOWER

Ce chapitre a pour objectif de vous donner quelques instructions qui vous permettrons
d'activer compltement les services Next Gen IPS ASA Firepower. vous allez
notamment activer les licences ASA Firepower.
Il vous propose galement un rapide tour d'horizon de l'interface d'administration qui
permet de vrifier que l'ASA 5506 traite correctement du trafic rseau.
Depuis la page daccueil du Dashboard et dans longlet [Home-> Firewall Dashboard
] activer toutes les statistiques disponibles en cliquant sur tous les boutons [ enable ]
25
Cisco
de tous les onglets de tous les widgets.

Slectionner laffichage de camemberts.
ACTION
RESULTAT
Activer les statistiques du Dashboard
Gnrez de lactivit vers INTERNET travers lASA 5506 afin de dobtenir au bout
de quelques minutes des statistiques dactivits.
ACTION
RESULTAT
Statistiques [ Home>Firewall Dashboard ]
Cliquez sur longlet [ Home>Firepower Dashboard ]

Et vrifiez quelques lments propres Firepower Services.
Cherchez et notez les valeurs des lments suivants :
- La version du Software
- La version de VDB ( Vulnerability Database )
- La version des Rules Updates
- La version de la base de Geolocalisation
- Les tats et les dates dexpiration des licences Protection et Control ( les
services IPS/AVC ), URL Filtering et Malware.
ACTION
RESULTAT
26
Cisco
Statistiques [
Dashboard ]
Home
->
Firepower
A ce stade, et suite au dmarrage de lASA 5506, aucune licence nest en principe

installe.
Ceci signifie que mme si le module Firepower est dmarr, les services NGIPS ne
sont pour le moment pas oprants.
Pour les activer vous devez installer les licences.
INSTALLATION DES LICENCES FIREPOWER
Ce paragraphe dcrit la procdure qui permet de gnrer les licences Firepower
installer dans lASA 5506.
LASA 5506 est livr avec une licence Protect & Control . Cette licence fournit les
service Application Visibility & Control ( AVC ) et Next Gen IPS. Les licences Advanced
Malware Protection ( AMP ) et URL filtering doivent tre commandes sparment, en
plus de lASA 5506.
La licence Protect & Control nest pas installe par dfaut. Cest vous de
linstaller. Et pour cela droulez la procdure qui suit.
LASA 5506 est livr avec un document papier qui contient un PAK ( Product Activation
Key ) et lURL Cisco sur laquelle il faudra se connecter pour gnrer la licence.
27
Cisco
Comme lindique le document noter la valeur du PAK et laide de votre navigateur

INTERNET, connectez-vous lURL http://www.cisco.com/go/license
ACTION
RESULTAT
Connectez vous
http://www.cisco.com/go/license.
Authentifiez vous et renseignez la
valeur de votre PAK dans le champ
ddition prvu cet effet.
28
Cisco
Une fentre apparat et vous

propose de valider le modle dASA
associ au PAK
La page suivante vous demande la

license key de lASA.
Vous trouverez cette license
key sur lASA 5506 grce
ASDM.
Dans ASDM
Cliquer sur le bouton [ ASA
Firepower Services ]
29
Cisco
Cliquer sur le lien [ Licences ]
La fentre dajout des licences

apparat
Si cela na pas dj t fait, utilisez
la license key en haut gauche
pour gnrer votre licence sur le
portail PAK.
Copiez/Collez la valeur de la
license key de lASA dans le
champs ddition de la page
denregistrement de la license.
Acceptez les termes dutilisation de

la licence et confirmez vos
informations.
30
Cisco
Un cran de confirmation vous

informe que la licence a t
gnre, quelle vous a t
envoye par email. Vous pouvez
galement la tlcharger depuis la
page web.
Vous recevez la licence que vous

avez demand par E Mail. Ouvrez
le fichier licence.
Vous devez reproduire cette procdure pour chacune des licences que vous avez
achet.
Une fois que vous tes en possession des fichiers licences. droulez la procdure
suivante chacune des licences, pour procder leur installation dans lASA.
ACTION
RESULTAT
Cliquer sur longlet [ Configuration ]
31
Cisco
Cliquer sur le bouton [ ASA

Firepower Services ]
Cliquer sur le lien [ Licences ]
La fentre dajout des licences

apparat
Si cela na pas dj t fait, utilisez
la license key en haut gauche
pour gnrer votre licence sur le
portail PAK.
Copiez la partie du contenu qui

correspond la cl de licences
32
Cisco
Collez ce contenu dans la fentre

dactivation de la licence de
lASA5506
Et cliquez sur le bouton [ Submit
License ]
RESULTAT
La license sactive et elle apparat
ensuite
disponible
dans
le
Dashboard de
Licences
Les 2 oprations drouler ensuite sont dune part la synchronisation des horloges
sur un serveur NTP public et dautre part le dclenchement des mises jour des bases
de vulnrabilit.
CONTROLE DE LA SYNCHRONISATION DES HORLOGES
Une synchronisation correcte des horloges est un pr requis indispensable au bon
fonctionnement de la solution. Drouler les oprations suivantes pour effectuer le
contrle de la bonne synchronisation.
ACTION
RESULTAT
33
Cisco
Mise lheure du 5506

Cliquer sur longlet [ Configuration > device Setup -> Clock ]
Mise lheure de Firepower
CONTROLE DE LA MISE A JOUR DES BASES DE VULNERABILITE

Aucune opration de protection nest possible sans la mise jour des bases de donnes
de vulnrabilit.
La mise jour de ces bases donnes se fera automatiquement toute seule une fois
que lASA est correctement raccord INTERNET.
Ceci peut prendre un certain temps. Il est possible de forcer ces mises jour en
droulant les oprations suivantes.
ACTION
RESULTAT
34
Cisco
Cliquer sur longlet [ Configuration > ASA Firepower Configuration ]
Cliquer sur le lien, [ Updates ]
Vrifier la version de la base de

vulnrabilit
et
provoquer
ventuellement la mise jour en
cliquant sur le bouton [ Download
Updates ]
Remarque, le tlchargement des
updates prend aux alentours de 5
minutes
35
Cisco
Vous devez ensuite installer les

mise jour en cliquant sur licone [
install ]
Une Task Status Notification
apparat. Vous pouvez cliquer
dessus pour contrler en temps rel
lxecution de cette tche.
Linstallation
dure
plusieurs
minutes et le status de la tche
passe completed une fois que
cest termin.
CONTROLE DE LA MISE A JOUR DES Security Intelligence Feeds

Les Security Intelligence feeds sont des listes dadresses IP organises en
catgories, consolides par Cisco, qui contiennent en ensemble dadresses IP connies
pour hberger des systmes dextrmit malveillants.
Ces listes sont tlcharges par les ASA depuis les bases de donnes Cisco toute les
2 heures.
ACTION
RESULTAT
36
Cisco
Cliquer sur longlet [ Configuration > ASA Firepower Configuration ]
Cliquer sur le lien, [ Updates ]
CONTROLE DE LA MISE A JOUR DES DNS et URL Feeds

A partir de la version logicielle 6.0 de nouvelles listes de feeds sajoutent la base
de connaissance locale. Se sont les DNS et les URL feeds.
A partir de cette version logicielle, lASA tlcharge des listes de noms de domaine et
des listes dURLs malveillante. Le contrle local ne remplace pas linterogation
dynamique de la base de rputation dURL, Il sajoute lui, et il est plus rapide.
Les listes qui sont charges sont des listes de noms de domaines et dURL
particulirement malveillantes.
Scnario 2 : Un VLAN ddi ladministration ( VLAN_Management ), Un

VLAN de production interne ( INSIDE ) , une interface WAN
Ce second scnario est une adaptation du scnario prcdent. Il correspond un peu
plus la ralit en matire d'architecture et de bonnes pratiques. L'adaptation se
traduit par l'ajout d'une interface interne ( interface INSIDE ) qui est ddie la
production. L'interface de Management 1/1 tant ddie elle l'administration du
37
Cisco
boitier.
Ceci entre dans la logique de sparation du rseau d'administration de l'ASA 5506, du
rseau de production. Cette logique correspond une bonne pratique en matire
scurit, elle s'inscrirait dans une logique globale de sparation du VLAN
d'administration qui sert au pilotage de tous les quipements du rseau, du VLAN de
production interne.
Au niveau de l'ASA 5506, ceci se traduit simplement par la cration d'une Interface
INSIDE sur laquelle sera active le cas chant un serveur DHCP, et qui supportera
toutes les politiques de scurit qui s'appliquent aux flux de donnes applicatives qui
traverseraient lASA.
En ce qui concerne l'interface de VLAN_Management , aucun serveur DHCP ne sera
activ dessus et des rgles de scurit sur le contrle des accs administrateurs lui
seront appliques.
On remarquera toujours la ncessit de raccorder l'interface Management 1/1
physiquement l'aide d'un cble Ethernet.
Les tapes de mise en uvre.

Partant du principe que ladressage IP du module Firepower ne change pas. Il est
possible alors de remplacer la " configuration ASA Firewall de sortie de carton " par la
configuration cible en suivant la procdure suivante :
A laide du cble console bleu Cisco connectez votre terminal VT100 au port RS232 de lASA 5506.
Loguez-vous et obtenez le prompt

38
Cisco
ciscoasa>
Passez en mode enable
ciscoasa>enable
password : [ entrer votre mot de passe ]
Puis passez en mode configure terminal
ciscoasa(config)#
Commencez par effacer compltement la configuration existante :
ciscoasa(config)#clear configure all
Puis copier/coller une par une toute les lignes de configurations suivantes :
conf term
!
hostname ciscoasa
!
interface GigabitEthernet1/1
nameif outside
security-level 0
ip address dhcp setroute
no shutdown
!
nameif vlan_management
security-level 100
ip address 192.168.100.1 255.255.255.0
no shutdown
!
nameif inside
security-level 90
ip address 192.168.200.1 255.255.255.0
no shutdown
39
Cisco
!
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
no shutdown
!
!
domain cisco.com
!
yes
!
!
user-identity default-domain LOCAL
http server enable
http 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
no ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.200.10-192.168.200.30 inside
dhcpd enable inside
!
ntp server 108.161.188.192 source outside
!
!
name-server 8.8.8.8
dhcpd dns 8.8.8.8
40
Cisco

privilege show level 3 mode exec command vpnclient
41
Cisco

!
end

[OK]
ciscoasa#
A ce stade, lASA 5506 est install.

Si cela nest pas dj fait, vous pouvez passer lactivation des services Firepower et
linstallation des licences.
Scnario 3 : Un VLAN ddi ladministration ( VLAN_Management ), Un

VLAN de production interne ( INSIDE ), Un VLAN DMZ, deux interfaces WAN
et la fonction double WAN Policy Based Routing active
Ce scnario est un scnario un peu plus complexe que les deux scnarios prcdents.
Il a essentiellement pour objectif de dcrire la configuration de diffrentes briques
fonctionnelles qui peuvent avoir tre mises en uvre de faon individuelle.
42
Cisco
Dans ce scnario rien ne change par rapport au scnario 2 en ce qui concerne le VLAN
d'administration. En revanche nous ajoutons deux briques supplmentaires et
indpendantes qui sont :
La gestion du double Wan

Une DMZ interne et l'accs depuis l'extrieur des serveurs privs.

possible alors de remplacer la " configuration ASA Firewall de sortie de carton " par la
configuration dfinitive en suivant la procdure suivante :
ciscoasa>
ciscoasa>enable

43
Cisco
ciscoasa(config)#
Ajoutons les paramtres du scnario 2

Pour commencer ajoutez ( si cela n'est pas dj fait ) tous les paramtres du scnario
2.
Ces paramtrages sont le point de dpart l'ajout des complments de configurations
qui suivent.
Ajoutons l'accs un Serveur DMZ
Pour cela, vous allez ajouter une interface DMZ dans l'ASA, sur l'interface
Gigabitethernet 1/4. interface DMZ dont l'adresse IP est 192.168.2.1 / 24.
Nous partons du principe que le serveur DMZ sera dans ce sous rseau IP.
Nous posons pour hypothse que le serveur DMZ ( DMZ-Server ) est un serveur HTTP
qui doit tre accessible depuis INTERNET.
Nous posons galement comme hypothse que l'ASA est raccord une Box
INTERNET qui fournit un sous rseau IP en 192.168.1.0 /24. La plus part du temps
l'adresse IP de la box sera l'adresse 192.168.1.1 /24. Nous dcidons d'allouer
l'adresse IP 192.168.1.50 l'adresse NAT de DMZ_Server sur le rseau outside de
l'ASA.
Ceci implique alors qu'une redirection de port doit tre paramtre dans la box
INTERNET pour rediriger tous les flux HTTP entrants vers l'adresse IP interne
192.168.1.50.
44
Cisco
Ceci nous conduit l'ajout dans la configuration de l'ASA 5506 des paramtres cidessous :
conf term
!
Interface GigabitEthernet1/4
nameif DMZ
ip address 192.168.2.1 255.255.255.0
security-level 50
!
object network DMZ_Server
host 192.168.2.100
object network public_ip_for_DMZ_server
host 192.168.1.50
object network DMZ_Server
nat (inside,outside) static public_ip_for_DMZ_server
access-list outside_access line 1 extended permit tcp any4
object DMZ_Server eq http
access-group outside_access in interface outside
!
end
Aprs avoir entr dans lASA 5506 la configuration ci-dessus, l'accs http au serveur
DMZ doit en principe tre possible depuis le rseau extrieur. Ceci peut tre test
laide dun PC positionn du ct public de lASA ( dans le subnet 192.168.1.0 ), et en
ouvrant un navigateur sur ladresse IP 192.168.1.50.
Ajoutons le support du double Wan
L'interface outside primaire ngocie son adresse IP en DHCP. Et nous posons pour
hypothse que son adresse IP est dans le sous rseau IP 172.16.20.0/24 et l'adresse
de default gateway est 172.16.20.254.
La seconde interface Wan est associ l'interface Gigabitethernet 1/4, elle a pour
adresse IP l'adresse 176.16.30.242 /24 et la default gateway a pour adresse l'adresse
172.16.30.1.
A partir de la console RS-232, nous ajouterons la configuration courante les lignes
de commandes suivantes.
!
nameif Inside
security-level 90
ip address 192.168.200.1 255.255.255.0
45
Cisco
policy-route route-map equal-access

!
!
nameif outside2
security-level 50
ip address 172.16.30.242 255.255.255.0
!
access-list Outside_access_in extended permit icmp any any
access-list PBR extended permit ip host 192.168.2.42 any
access-list PBR2 extended permit ip host 192.168.2.43 any
!
nat (Inside,outside) source dynamic any interface
nat (Inside,outside2) source dynamic any interface
access-group Outside_access_in in interface outside
!
route-map equal-access permit 10
match ip address PBR
set ip next-hop 172.16.30.1
set interface outside2 (pas obligatoire)
!
match ip address PBR2
set ip next-hop 172.16.20.254
set interface outside (pas obligatoire)
!
set interface Null0
!
route outside 0.0.0.0 0.0.0.0 172.16.20.254 1
route outside2 0.0.0.0 0.0.0.0 172.16.30.1 2
!
Vous remarquerez que dans notre exemple deux access-list distinctes identifient les
systmes dextrmit internes 192.168.1.42 et 192.168.2.43. Du coup il est ais de
dduire que le paramtrage effectu ci-dessus a pour effet daiguiller le trafic du poste
192168.2.42 vers linterface outside2 et le trafic du poste 192.168.2.43 vers linterface
outside.

[OK]
46
Cisco
ciscoasa#
A ce stade, lASA 5506 est oprationnel.

Si cela nest pas dj fait, vous pouvez passer lactivation des services Firepower et
linstallation des licences.
Scnario 4 : Configuration IDS pur pour un audit de scurit rseau.

Ce scnario est un cas particulier d'application de l'ASA 5506. Dans ce scnario l'ASA
5506 n'est pas utilis pour bloquer du trafic malveillant, il est utilis pour observer le
trafic qui traverse le rseau, dterminer les volumtries de trafics, dterminer si des
attaques ont lieu sur le systme d'information.
Une telle utilisation ( monitor-only mode ) permet au minimum la mise en place d'un
systme d'alerte, et elle permet d'effectuer de manire trs simple, une analyse de
scurit rseau.
Ce mode de dploiement ncessite la redirection de tous les flux observer vers les
interfaces de lASA 5506 utilises pour lobservation. Ceci se fera dans la pratique par
lactivation dun paramtrage de mirroring de port effectu dans les switchs du rseau.
Cette analyse peut se conclure par l'dition d'un rapport de scurit.
Utiliser l'ASA 5506 dans ce mode de fonctionnement ncessite de la basculer en mode

transparent ( pontage transparent ). Puis activer ensuite un mode IDS pur sur chaque
interface physique qui sera utilise en coute.
Tous les modles ASA peuvent tre basculs dans ce mode d'utilisation. Et avec les
mme contraintes. La principale contrainte tant qu'un maximum de 4 interfaces
47
Cisco
physiques peuvent tre utilises en coute.

Remarque : Ce mode d'utilisation prend toute sa dimension lorsque l'on utilise un
serveur externe FireSight Management Center. En effet, la qualit de l'analyse de
scurit va s'appuyer sur la puissance de la corrlation mise en uvre par FireSight
Management Center.
A noter que dans la mesure o lanalyse de scurit se base sur lobservation par
lASA 5506 des seuls flux qui passent devant ses interfaces, la position de ce dernier
dans le rseau est stratgique pour obtenir une bonne qualit dobservation. Le
scnario idal serait que lASA 5506 puisse voir tous les trafics qui traversent le
rseau.
possible alors de remplacer la " configuration ASA Firewall de sortie de carton " par
la configuration cible en suivant la procdure suivante :
ciscoasa>
ciscoasa>enable
ciscoasa(config)#
Puis taper une par une toute les lignes de configurations suivantes :
48
Cisco
ciscoasa(config)#firewall transparent
Ceci a pour effet de faire rebooter l'ASA et efface dans le mme temps toute sa
configuration courante.
Une fois que lASA 5506 a reboot, nous allons commencer par configurer linterface
de Management ( Interface Management 1/1 ) de manire ce quelle ait une adresse
IP et de manire ce quun serveur DHCP puisse fonctionner dessus ( concernant le
serveur DHCP, uniquement si aucun serveur DHCP nexiste dans le VLAN
dadministration ).
Cette configuration est trs similaire celle qui ont t proposes jusque l. On
remarquera simplement l que linterface Management 1/1 a une adresse IP et quelle
est capable de recevoir directement du trafic.
Remarque : Si FireSIGTH Management Center ne se trouve pas sur le mme subnet
IP que linterface dadministration de lASA, il faudra ajouter une route IP dans la
configuration.
ciscoasa(config)#route management 0.0.0.0 0.0.0.0 [ adresse IP
default gateway ]
Choisissez une ou plusieurs interfaces d'coute du trafic ( interface Gigabitethernet

1/1 par exemple ) et appliquez lui le paramtrage suivante.
ciscoasa(config)#interface Gigabitethernet 1/1

ciscoasa(config)#no nameif
ciscoasa(config)#traffic-forward sfr monitor-only
ciscoasa(config)#no shutdown
Remarque : Il nest pas recommand dutiliser ce paramtrage en production !
Cette configuration particulire n'est pas recommande pour de la production, elle

n'est pas supporte par Cisco dans un tel cas d'utilisation. Elle n'est cense tre
utilise que dans un contexte de dmonstration ou d'analyse temporaire de scurit.
49
Cisco
Combien dinterface est-il pertinent de mettre en coute ?

Comme le montre le schma au dbut de ce paragraphe, 2 interfaces sont utilises
pour raliser lobservation.
La proposition du schma nest pas la seule bonne pratique de dploiement
possible. Une analyse de scurit peut tre ralise avec une seule interface
seulement.
La principale contrainte est de positionner linterface un endroit qui permet la
meilleure vision possible des flux qui traversent le rseau. Et lidal serait de
positionner linterface dobservation un point o passe la totalit des flux qui
traversent le rseau.
Dans la pratique on se doute bien que voir tout le trafic dans le rseau est quelque
chose de difficile faire, et le fait de disposer de 4 interfaces dobservation va nous
permettre dtendre la visibilit des flux en positionnant ces 4 interfaces 4 endroits
stratgiques du rseau.
Positionner une interface dobservation juste sur linterface interne du firewall
INTERNET est une trs bonne position dobservation. Et positionner en mme temps
une interface dobservation juste devant ce firewall va nous permettre par exemple de
comparer ce que lon voit devant le firewall avec ce que lon voit en interne du firewall.
On va alors pouvoir juger de lefficacit de ce firewall pour stopper des attaques
entrantes.
Mais une autre position intressante dans le rseau sera par exemple sur linterface
interne dun quipement rseau qui NAT le trafic. Ou encore un port SPAN dun switch
sur lequel est aiguill tout le trafic qui traverse le cur du rseau.
Configurations ASA 5506 IDS prtes lemploi
Afin de gagner du temps, voici 2 propositions de configurations ci-dessous.
Elle peuvent tre copies / colles dans votre ASA, elles vous permettront une mise
en uvre rapide du service IDS.
La premire configuration effectue un paramtrage statique des adresses IP de
linterface de management de lASA, ainsi que de ladresse IP du module firepower.
Cette configuration est bien adapte au cas de figure o le rseau management de la
sonde IDS est compltement isol du rseau de production et le serveur FMC est dans
ce rseau de management.
50
Cisco
conf term
!
Interface Management 1/1
nameif management
management-only
ip address 192.168.100.1 255.255.255.0
no shutdown
interface Gigabitethernet 1/1
no nameif
traffic-forward sfr monitor-only
no shutdown
no nameif
no shutdown
interface BVI1
no ip address
yes
!
domain cisco.com
ssh 0.0.0.0 0.0.0.0 management
http 0.0.0.0 0.0.0.0 management
http server enable
name-server 8.8.8.8
51
Cisco

52
Cisco

!
!
session sfr do setup host ip 192.168.100.2/24,192.168.100.1
!
end
Dans ce deuxime cas de figure, linterface de management de lASA est raccorde
au rseau de production. Et dans ce cas cette on va faire en sorte que linterface de
management de lASA ainsi que linterface du module Firepower rcuprent chacune,
une adresse IP dans le rseau de lentreprise, et ce en dhcp.
On peut noter que cette solution lavantage de ncessiter quasiment aucun
paramtrage sur site et permet un dmarrage instantane de la sonde IDS. Elle
impose seulement davoir dterminer les adresses IP qui ont t ngocies si lon
souhaite administrer lASA.
53
Cisco
conf term
!
Interface Management 1/1
nameif management
management-only
ip address dhcp setroute
no shutdown
no nameif
no shutdown
no nameif
no shutdown
interface BVI1
no ip address
54
Cisco

yes
!
domain cisco.com
ssh 0.0.0.0 0.0.0.0 management
http 0.0.0.0 0.0.0.0 management
http server enable
name-server 8.8.8.8
dhcpd dns 8.8.8.8
dhcpd address 192.168.100.20-192.168.100.30 management
dhcpd enable management
55
Cisco

!
session sfr do setup host ip dhcp
!
end
Le test qui va vous permettre de vrifier que la sonde IDS est prte lemploi et est
prte tre connecte son FireSight Management Center, est un ping de ladresse
IP du FireSight Management Center, ou un ping dun nom de domaine existant sur
INTERNET.
session sfr console

56
Cisco
Opening console session with module sfr.

Password:
Last login: Sat Mar 19 07:22:57 UTC 2016 on pts/0

> expert
admin@Sourcefire3D:~$ sudo su
Password:
root@Sourcefire3D:/Volume/home/admin#
root@Sourcefire3D:/Volume/home/admin# ping www.google.com
PING www.google.com (216.58.211.68) 56(84) bytes of data.
Le bon fonctionnement de la rsolution DNS nous confirme que le module Firepower

est oprationnel et est prt tre connect son Firesight Management Center.
CONCLUSION DE CE "Quick Start Guide"

A ce stade votre ASA 5506 est compltement oprationnel, Il est insr la topologie
du rseau, et il est prt recevoir les politiques de scurit.
Les oprations suivantes drouler sont maintenant :
Cration des politiques de scurit NGIPS

Scurisation avance du boitier
Dans le cas de lutilisation du boitier en sonde IDS danalyse de scurit, il faudra

enregistrer ce dernier un FireSIGHT Management Center externe dans lequel seront
57
Cisco
dfinis les politiques de scurit dobservation .
58
Cisco

5506 Quick Start Guide Version 20160319a

Transféré par

Informations du documentcliquez pour développer les informations du documentasa

Informations du documentcliquez pour développer les informations du document

Droits d'auteur :

Formats disponibles

5506 Quick Start Guide Version 20160319a

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

5506 Quick Start Guide Version 20160319a

Transféré par

Droits d'auteur :

Formats disponibles

CISCO ASA 5506 Quick Start Guide

Auteur : Patrick Cardot

Protection de laccs INTERNET dun petit site on dun site distant

Dans ce document nous vous proposons de dtailler le paramtrage initial raliser

Etape 1 - Connexion au rseau et Paramtrage initial

CONNEXION AU RESEAU ET PARAMETRAGE INITIAL

Comme le montre le schma ci-dessus

Vous connecterez votre ASA 5506 au rseau INTERNET en utilisant le port

De vous connecter INTERNET en traversant lASA 5506

Les administrateurs habitus au paramtrage dun ASA, remarqueront le fait que

Dun ordinateur quip dun navigateur INTERNET, et dun mulateur de Terminal

Du cble bleu Cisco port srie RS 232

Dun adaptateur USB RS232 pour votre laptop

Pour Paramtrer lASA .

Le paramtrage du port srie effectuer pour permettre un dialogue RS-232 avec un

Le prompt Password apparat

Une seule interface Wan

production interne ( INSIDE ) , une interface WAN

production interne ( INSIDE ) Un VLAN DMZ, deux interfaces WAN et la

Nous allons maintenant dtailler chacun de ces scenarii.

MODIFICATION DE LA CONFIGURATION DE SORTIE DE CARTON

Une fois le PC dadministration connect, vrifiez quune adresse IP lui a bien t

Laccs administrateur se fait en ouvrant son navigateur INTERNET sur lURL

Cliquer sur le bouton [ RUN ASDM ]

Utilisez ensuite la commande ci-dessous.

ciscoasa# configure terminal

aaa authentication ssh console LOCAL

privilege show level 3 mode configure command ip

ciscoasa# write memory

A ce stade vous pouvez renouveler ladresse IP du PC dadministration et vous pouvez

App. Status Desc: Normal Operation

ciscoasa5506# session sfr

You must accept the EULA to continue.

Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES

Enter a comma-separated list of DNS servers or 'none' []: none

Link encap:Ethernet HWaddr 50:87:89:FC:88:6E

RX packets:107 errors:0 dropped:0 overruns:0 frame:0

Link encap:Local Loopback

UP LOOPBACK RUNNING MTU:16436 Metric:1

Pour quitter la console du module Firepower et revenir la console de lASA vous

Remarque : pour quitter la session avec le module Firepower, vous pouvez

Que faire si les onglets ASA FIREPOWER napparaissent pas ?

Si la cause dchec de communication est une mauvaise correspondance de ladresse

configure network ipv4 manual <ipaddr> <netmask> <gw>

Scnario 1 : Un seul VLAN interne pour ladministration et le rseau de production.

De vous connecter INTERNET en traversant lASA 5506

De vous connecter lASA en tant quadministrateur via le protocole SSH avec

Si vous avez droul les tapes du chapitre prcdent (Modification de la configuration

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside

ciscoasa# ping www.cisco.com

ciscoasa# conf term

ACTIVATION DES SERVICES FIREPOWER

de tous les onglets de tous les widgets.

Activer les statistiques du Dashboard

Statistiques [ Home>Firewall Dashboard ]

Cliquez sur longlet [ Home>Firepower Dashboard ]

A ce stade, et suite au dmarrage de lASA 5506, aucune licence nest en principe