TP 3 : Configuration des paramètres de base du pare-feu ASA à

l'aide des CLI

Topologie :

Table des adresses ip :

Objectifs
- Exploitation d’un firewall ASA
- Configurer les paramètres de base de ASA et les niveaux de sécurité de l'interface à l'aide du
CLI
- Configuration du routage, traduction d'adresses
- Configurer DHCP, AAA et SSH
- Configurer une DMZ, NAT statique et les ACLs

Partie 1 : Vérifier la connectivité et explorer l'ASA

Étape 1 : Vérifier la connectivité.
ASA n'est pas configuré actuellement. Cependant, tous les routeurs, les PC et le serveur DMZ
sont configurés. Vérifiez que PC-C peut envoyer un ping à n'importe quelle interface du
routeur. Le PC-C n'est pas en mesure d'envoyer un ping à l'ASA, au PC-B ou au serveur
DMZ.

Étape 2 : Déterminer la version, les interfaces et la licence de l'ASA.

Utilisez la commande show version pour déterminer les différents aspects de ce périphérique
ASA.
Partie 2 : Configurer les paramètres de l'ASA et la sécurité de l'interface à l'aide de la CLI
Étape 1 : Configurez le nom d'hôte et le nom de domaine.
a. Configurez le nom d'hôte de l'ASA comme CCNAS-ASA.
hostname CCNAS-ASA

b. Configurez le nom de domaine comme ccnasecurity.com.

domain-name ccnasecurity.com

Étape 2 : Configurez le mot de passe du mode d'activation.

Utilisez la commande enable password pour changer le mot de passe du mode EXEC
privilégié en ciscoenpa55.

enable password ciscoenpa55

Étape 3: Configurez les interfaces intérieures et extérieures.

Pour l'instant, vous ne configurerez que les interfaces VLAN 1 (inside) et VLAN 2 (outside).
L'interface VLAN 3 (dmz) sera configurée dans la partie 5 de l'activité.

a. Configurez une interface logique VLAN 1 pour le réseau intérieur (192.168.1.0/24) et

définissez le niveau de sécurité sur le paramètre le plus élevé de 100.

CCNAS-ASA(config)# interface vlan 1

CCNAS-ASA(config-if)# nameif inside

CCNAS-ASA(config-if)# ip address 192.168.1.1

255.255.255.0

CCNAS-ASA(config-if)# security-level 100

b. Créez une interface logique VLAN 2 pour le réseau extérieur

(209.165.200.224/29), définissez le niveau de sécurité sur le paramètre le plus bas (0)
et activez l'interface VLAN 2.

CCNAS-ASA(config-if)# interface vlan 2

CCNAS-ASA(config-if)# nameif outside

CCNAS-ASA(config-if)# ip address 209.165.200.226

255.255.255.248

CCNAS-ASA(config-if)# security-level 0

c. Utilisez les commandes de vérification suivantes pour vérifier vos configurations :

1) Utilisez la commande show interface ip brief pour afficher l'état de toutes les
interfaces ASA.
 2) Utilisez la commande show ip address pour afficher les informations relatives aux
interfaces VLAN de couche 3.

3) Utilisez la commande show switch vlan pour afficher les VLANs internes et
externes configurés sur l'ASA et pour afficher les ports assignés.

Étape 4 : Testez la connectivité avec l'ASA.

a. Vous devriez être en mesure de faire un ping depuis le PC-B vers l'adresse de
l'interface intérieure de l'ASA (192.168.1.1). Si les pings échouent, dépannez la
configuration si nécessaire.

b. Depuis le PC-B, envoyez un ping à l'interface VLAN 2 (extérieur) à l'adresse IP

209.165.200.226. Vous ne devriez pas être en mesure d'envoyer un ping à cette
adresse.
Partie 3 : Configurer le routage, la traduction d'adresses et la politique d'inspection à
l'aide de la CLI
Étape 1 : Configurer une route statique par défaut pour l'ASA.
Configurez une route statique par défaut sur l'interface extérieure de l'ASA pour
permettre à l'ASA d'atteindre les réseaux externes.

a. Créez une route par défaut "quad zero" à l'aide de la commande route, associez-la
à l'interface extérieure de l'ASA et indiquez l'adresse IP R1 G0/0
(209.165.200.225) comme passerelle de dernier recours.

CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0

209.165.200.225

b. Exécutez la commande show route pour vérifier que la route statique par
défaut se trouve dans la table de routage de l'ASA.

c. Vérifiez que l'ASA peut envoyer une requête ping à l'adresse IP R1 S0/0/0
10.1.1.1. Si le ping échoue, procédez au dépannage nécessaire.

Etape 2 : Configurer la traduction d'adresse en utilisant PAT et les objets réseau.

a. Créez l'objet réseau inside-net et attribuez-lui des attributs à l'aide des
commandes subnet et nat.

CCNAS-ASA(config)# object network inside-net

CCNAS-ASA(config-network-object)# subnet 192.168.1.0

255.255.255.0

CCNAS-ASA(config-network-object)# nat (inside,outside)

dynamic interface

CCNAS-ASA(config-network-object)# end
b. L'ASA divise la configuration en deux parties : la partie objet qui définit le réseau à
traduire et les paramètres de la commande nat proprement dite. Ceux-ci apparaissent à deux
endroits différents dans la configuration en cours d'exécution. Affichez la configuration de
l'objet NAT à l'aide de la commande show run.

c. Depuis le PC-B, essayez d'envoyer un ping à l'interface R1 G0/0 à l'adresse IP

209.165.200.225. Les pings doivent échouer.

d. Exécutez la commande show nat sur l'ASA pour voir les hits traduits et non traduits.
Remarquez que, parmi les pings provenant de PC-B, quatre ont été traduits et quatre ne l'ont
pas été. Les pings sortants (echos) ont été traduits et envoyés à la destination. Les réponses
d'écho de retour ont été bloquées par la politique de pare-feu. Vous configurerez la politique
d'inspection par défaut pour autoriser ICMP à l'étape 3 de cette partie de l'activité.

Etape 3 : Modifier la politique de service globale d'inspection d'application MPF par défaut.
Pour l'inspection de la couche application et d'autres options avancées, le MPF de Cisco est
disponible sur les ASA.

Le dispositif ASA de Packet Tracer n'a pas de carte de politique MPF en place par défaut. En
guise de modification, nous pouvons créer la carte de politique par défaut qui effectuera
l'inspection sur le trafic intérieur-extérieur. Lorsque la configuration est correcte, seul le trafic
initié depuis l'intérieur est autorisé à revenir vers l'interface extérieure. Vous devrez ajouter
ICMP à la liste d'inspection.

a. Créez le class-map, le policy-map et le service-policy. Ajoutez l'inspection du trafic

ICMP à la liste des cartes de stratégie à l'aide des commandes suivantes :

CCNAS-ASA(config)# class-map inspection_default

CCNAS-ASA(config-cmap)# match default-inspection-traffic

CCNAS-ASA(config-cmap)# exit

CCNAS-ASA(config)# policy-map global_policy

CCNAS-ASA(config-pmap)# class inspection_default

CCNAS-ASA(config-pmap-c)# inspect icmp

CCNAS-ASA(config-pmap-c)# exit

CCNAS-ASA(config)# service-policy global_policy global

b. Depuis le PC-B, essayez d'envoyer un ping à l'interface R1 G0/0 à l'adresse IP
209.165.200.225. Les pings devraient réussir cette fois-ci car le trafic ICMP est maintenant
inspecté et le trafic de retour légitime est autorisé. Si les pings échouent, dépannez vos
configurations.

Partie 4 : Configurer DHCP, AAA et SSH

Étape 1 : Configurer l'ASA en tant que serveur DHCP.
a. Configurez un pool d'adresses DHCP et activez-le sur l'interface interne de l'ASA.

CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36

inside

b. (Facultatif) Spécifiez l'adresse IP du serveur DNS à fournir aux clients.

CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface

inside

c. Activez le démon DHCP de l'ASA pour qu'il écoute les requêtes des clients DHCP sur
l'interface activée (inside).

CCNAS-ASA(config)# dhcpd enable inside

d. Faites passer le PC-B d'une adresse IP statique à un client DHCP et vérifiez qu'il
reçoit des informations d'adressage IP. Dépannez, si nécessaire, pour résoudre les
problèmes éventuels.

Etape 2 : Configurer AAA pour utiliser la base de données locale pour

l'authentification.
a. Définissez un utilisateur local nommé admin en entrant la commande username.
Spécifiez le mot de passe adminpa55.

CCNAS-ASA(config)# username admin password adminpa55

b. Configurez l'AAA pour qu'il utilise la base de données locale de l'ASA pour
l'authentification des utilisateurs SSH.

CCNAS-ASA(config)# aaa authentication ssh console LOCAL

Étape 3 : Configurer l'accès à distance à l'ASA.

L'ASA peut être configuré pour accepter des connexions à partir d'un seul hôte ou
d'une série d'hôtes sur le réseau interne ou externe. Dans cette étape, les hôtes du
réseau extérieur ne peuvent utiliser que SSH pour communiquer avec l'ASA. Les
sessions SSH peuvent être utilisées pour accéder à l'ASA depuis le réseau interne.

a. Générez une paire de clés RSA, nécessaire pour prendre en charge les
connexions SSH. Étant donné que le périphérique ASA dispose déjà de clés
RSA, entrez no lorsque vous êtes invité à les remplacer.
CCNAS-ASA(config)# crypto key generate rsa modulus 1024

WARNING: You have a RSA keypair already defined named

<Default-RSA-Key>.

Do you really want to replace them? [yes/no]: no

ERROR: Failed to create new RSA keys named <Default-RSA-

Key>

b. Configurez l'ASA pour autoriser les connexions SSH depuis n'importe quel
hôte du réseau interne (192.168.1.0/24) et depuis l'hôte de gestion à distance de
la succursale (172.16.3.3) sur le réseau externe. Définissez le délai d'attente
SSH à 10 minutes (la valeur par défaut est de 5 minutes).

CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside

CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside

CCNAS-ASA(config)# ssh timeout 10

c. Établissez une session SSH entre le PC-C et l'ASA (209.165.200.226).

Procédez au dépannage en cas d'échec.

PC> ssh -l admin 209.165.200.226

d. Établissez une session SSH entre le PC-B et l'ASA (192.168.1.1). Procédez au

dépannage en cas d'échec.

PC> ssh -l admin 192.168.1.1

Partie 5 : Configuration d'une DMZ, NAT statique et ACLs

R1 G0/0 et l'interface extérieure de l'ASA utilisent déjà 209.165.200.225 et .226,
respectivement. Vous utiliserez l'adresse publique 209.165.200.227 et la NAT
statique pour fournir un accès de traduction d'adresse au serveur.

Étape 1 : Configurez l'interface DMZ VLAN 3 sur l'ASA.

a. Configurez le VLAN DMZ 3, où résidera le serveur web d'accès public.
Attribuez-lui l'adresse IP 192.168.2.1/24, nommez-le dmz et attribuez-lui un
niveau de sécurité de 70. Comme le serveur n'a pas besoin de communiquer
avec les utilisateurs internes, désactivez le transfert vers l'interface VLAN 1.

CCNAS-ASA(config)# interface vlan 3

CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0

CCNAS-ASA(config-if)# no forward interface vlan 1

CCNAS-ASA(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

CCNAS-ASA(config-if)# security-level 70

b. Attribuez l'interface physique E0/2 de l'ASA au VLAN DMZ 3 et activez

l'interface.

CCNAS-ASA(config-if)# interface Ethernet0/2

CCNAS-ASA(config-if)# switchport access vlan 3

c. Utilisez les commandes de vérification suivantes pour vérifier vos configurations :

1) Utilisez la commande show interface ip brief pour afficher l'état de toutes les interfaces
ASA.

2) Utilisez la commande show ip address pour afficher les informations relatives aux
interfaces VLAN de couche 3.

3) Utilisez la commande show switch vlan pour afficher les VLANs internes et externes
configurés sur l'ASA et pour afficher les ports assignés.

Étape 2 : Configurez le NAT statique vers le serveur DMZ à l'aide d'un objet réseau.
Configurez un objet réseau nommé dmz-server et attribuez-lui l'adresse IP statique du serveur
DMZ (192.168.2.3). En mode définition d'objet, utilisez la commande nat pour spécifier que
cet objet est utilisé pour traduire une adresse DMZ vers une adresse extérieure en utilisant la
NAT statique, et spécifiez une adresse publique traduite de 209.165.200.227.

CCNAS-ASA(config)# object network dmz-server

CCNAS-ASA(config-network-object)# host 192.168.2.3

CCNAS-ASA(config-network-object)# nat (dmz,outside) static

209.165.200.227

CCNAS-ASA(config-network-object)# exit

Étape 3 : Configurez une liste d'accès pour autoriser l'accès au serveur DMZ à partir
d'Internet.
Configurez une liste d'accès nommée OUTSIDE-DMZ qui autorise le protocole TCP sur le
port 80 depuis n'importe quel hôte externe vers l'adresse IP interne du serveur DMZ.
Appliquez la liste d'accès à l'interface extérieure de l'ASA dans la direction "IN".

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit icmp any

host 192.168.2.3

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any

host 192.168.2.3 eq 80

CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface

outside

Remarque : contrairement aux ACL IOS, l'instruction permit de l'ACL ASA doit autoriser
l'accès à l'adresse privée interne de la DMZ. Les hôtes externes accèdent au serveur en
utilisant son adresse NAT statique publique, l'ASA la traduit en adresse IP de l'hôte interne,
puis applique l'ACL.

Étape 4 : Tester l'accès au serveur DMZ.

Au moment où cette activité Packet Tracer a été créée, la possibilité de tester avec succès
l'accès extérieur au serveur web de la DMZ n'était pas en place ; par conséquent, un test réussi
n'est pas requis.

Étape 5 : Vérifier les résultats.