Cyber Security

A.CHERIFI
ORAN 2024
 Chapitre-5
Implémentation des appliances de
sécurité adaptatives Cisco
 Pare-feu ASA
La solution de pare-feu de routeur IOS convient aux déploiements de petites. Cependant, les solutions de
mais ne sont pas bien évolutives et ne peuvent souvent pas répondre aux besoins des grandes entreprises.

Cisco ASA avec FirePOWER : Cet appareil de nouvelle génération (NGFW) offrent des services de pare-
feu spécialisés sur Un seul appareil qui intègrent les menaces Sourcefire et une protection avancée contre les
logiciels malveillants .
Cisco propose plusieurs modèles ASA qui s'adaptent selon les besoins des différentes organisations avec des
variété d'exigences et de tailles de réseau.

Tous les modèles offrent des fonctionnalités avancées de pare-feu dynamique et de VPN. Les plus grandes
différences entre les différents modèles résident dans le débit de trafic maximal ainsi que dans le nombre et
le type d'interfaces que chaque modèle peut gérer.
modèles adaptés aux petits
bureaux et bureaux à domicile
(SOHO) et aux petites
entreprises.
modèles adaptés aux
périmètres Internet
des moyennes et
grandes entreprises.
montre des modèles
adaptés aux grandes
entreprises et aux centres
de données.
 L'appliance Cisco
(ASAv) apporte la
puissance des appareils
ASA dans une
infrastructure
informatique virtualisée

ASAv fonctionne
comme une machine
virtuelle et utilise des
interfaces serveur pour
gérer le trafic.
 Chapitre-9
Fonctionnalités avancées du pare-feu
ASA
Virtualisation ASA :

ASA peut être partitionné en plusieurs

appliance virtuelles (contexte de
sécurité).

Chaque contexte a sa propre politique

de sécurité, son interface et son
administrateur.

Plusieurs contextes reviennent à avoir

plusieurs appareils indépendants.
Le multi-contexte prend en charge de
nombreuses fonctions telles que les
tables de routage, les pare-feu, l'IPS et
la gestion, mais les VPN et les
protocoles de routage dynamique.
basculement pour une haute disponibilité :

Deux ASA identiques peuvent être

associés dans une configuration de
basculement actif/de secours pour
assurer la redondance.

Les deux plates-formes doivent

disposer des mêmes logiciels, licences,
mémoire et interfaces.
Pare-feu d'identité : L'ASA fournit un contrôle d'accès
granulaire facultatif basé sur
l'association des adresses IP avec les
informations de connexion Windows
Active Directory.

On doit d'abord s'authentifier auprès

du service de pare-feu basé sur
l'identité de Microsoft Active
Directory.
Les services d'authentification
améliorent les mécanismes existants de
contrôle d'accès et de politique de
sécurité.
Les politiques de sécurité basées sur
l'identité peuvent être entrelacées sans
les limitations des règles traditionnelles
basées sur l'adresse IP.
Services de contrôle et de confinement des menaces :
ASA a un IPS de base. Un IPS avancées peut être
obtenues en intégrant des modules matériels
Ils protègent contre des millions d’autres variantes
spécialisés dans l'architecture ASA.
d’attaques de vulnérabilité inconnues grâce à des
L’IPS peut être à l'aide du module Advanced
moteurs de détection IPS spécialisés et des milliers de
Inspection and Prevention (AIP).
signatures.
L’anti-malware grâce aux modules : intégrés de
sécurité et de contrôle du contenu (CSC).
Les services Cisco IPS contribuent à garantir la
Le module Cisco Advanced Inspection and
protection contre les dernières menaces en fournissant
Prevention Security Services (AIP-SSM)
des mises à jour de signatures provenant d'une équipe
La carte Cisco Advanced Inspection and
mondiale de renseignement travaillant 24 heures sur 24.
Prevention Security Services (AIP SSC).
 Chapitre-5
Modes de fonctionnement et type
d’architecture du pare-feu ASA
Parfeu Tri Leg
Autorisez le trafic provenant du
réseau interne à circuler vers le
réseau externe.
Autorisez le trafic provenant du
réseau interne à circuler vers le
réseau DMZ.
Autorisez éventuellement le
trafic provenant de réseaux
externes vers le réseau DMZ.
Parfeu Tri Leg
Empêchez le trafic provenant
du réseau externe d’entrer dans
le réseau interne.
Refuser le trafic du réseau
DMZ vers le réseau interne.
Modes de fonctionnement du pare-feu ASA
Mode Routage :
Deux interfaces ou plus séparent un réseau
de couche 3, appelé domaine.
l'ASA est un routeur qui peut effectuer un
NAT.
L'ASA applique des politiques au trafic
circulant à travers le pare-feu.

Mode transparent :
Le « pare-feu caché », l'ASA fonctionne
comme un périphérique de couche 2 et
n'agit pas comme un routeur à un seul
saut.
L’IP est utilisée pour la gestion. Ce mode
peut simplifie, les inconvénients absence de
prise en charge des protocoles de routage
dynamique, du VPN, de la QoS ou du relais
DHCP..
 Chapitre-5
Exigences de la licence ASA
 Type de VPN
Une licence spécifie les opérations disponibles sur un ASA donné.Par défaut on a une licence de base ou Security
Plus préinstallée.

Cisco ASA 5505 est livré avec une licence de base, mais avec licence Security on aura :
jusqu'à 25 utilisateurs VPN IPsec.
Une prise en charge complète de DMZ avec la prise en charge des liaisons VLAN.
Des connexions FAI redondantes et les services haute disponibilité actifs/veilles sans état.
Cette fonctionnalité permet d'assurer la continuité des activités

On peut installer une licence temporelle Botnet Traffic Filter valable 1 an.
On peut aussi avoir une augmentation des utilisateurs VPN SSL simultanés sur une courte période de temps.
Dans ce cas, une licence AnyConnect Premium facultative peut être achetée.

La combinaison de ces licences supplémentaires avec les licences préinstallées crée des licences permanentes.
Installez la clé d'activation permanente via la commande activation-key pour.
Les clés d'activation permanentes incluent toutes les fonctionnalités sous licence dans une seule clé.
Chapitre-5
Solution ASA
 Aperçue

Le Cisco ASA 5505 complèt et adaptée aux petites entreprises,et aux environnements de travail à
distance. Pare-feu hautes performances,un VPN SSL et IPsec et des services réseau.

Cisco ASA 5505 RAM=256 Mo / FLASH=128 Mo.

Aperçue
Niveau de sécurité ASA
Le trafic passant d’une interface avec un niveau de
sécuritéattribue
L'ASA plus élevé
des vers
niveauxunedeinterface
sécuritéavec
pourundistinguer
niveau
les réseaux internes et externes.
de sécurité plus faible est considéré comme du
traficle sortant.
Plus niveau est élevé, plus l’interface est fiable.
Les niveaux de sécurité :
lorsque le trafic passe d’une interface de niveau de
0sécurité inférieur
(pas fiable) à une
réseaux interface
externes de niveau
connectés à Internet.
de sécurité
100 supérieur,
(très fiable) tels queil est considéré
les réseaux comme du
internes.
trafic entrant.
chaque interface utilisable doit avoir un nom et un
niveau de sécurité

Pour la DMZ et autres on donne un niveau de sécurité

compris entre 0 et 100.
Chapitre-5
Configuration ASA
Config de base
Config de base

Restaurez l'ASA à la configuration par défaut d'usine avec

"configure factory-default"

Cette configuration contient deux réseaux VLAN

préconfigurés :

VLAN 1 - pour le réseau interne

VLAN 2 - pour réseau externe

Les configurations peuvent être modifiées à l'aide des

méthodes suivantes :

Modifier manuellement à l'aide de la CLI

L'assistant de configuration interactif
L'assistant de démarrage ASDM p
Show switch vlan
show interface ip brief
show ip address
Show switch vlan
show interface ip brief
show ip address
Si l'interface externe ASA est configurée en tant que client DHCP, vous pouvez utiliser la commande
dhcpd auto_config outside pour transmettre les informations obtenues via DHCP au client DHCP interne.
show dhcpd state - Affiche l'état DHCP actuel des interfaces internes et externes.
show dhcpd contraignant - Affiche la liaison DHCP actuelle pour les utilisateurs internes.
show dhcpd stats - Affiche les statistiques DHCP actuelles.
clear dhcpd Binding ou clear dhcpd Statistics .
Introduction aux objets et groupes
d'objets
 Types d’objets

L'ASA prend en charge les objets et les groupes d'objets,

l'ASA crée et utilise toujour des objets à la place des adresses IP en ligne.

Les objets sont définis :

adresse IP spécifique
sous-réseau entier
plage d'adresses
protocole / port / plage de ports spécifique.
 Types d’objets
les objets peuvent être connectés ou détachés d'un ou plusieurs groupes d'objets,
Donc les objets ne sont pas dupliqués mais peuvent être réutilisés selon les besoins.
Ces objets sont disponibles dans NAT, les listes d'accès et les groupes d'objets.
En faitles objets réseau constituent une partie importante de la configuration du NAT.

Deux types d'objets peuvent être configurés :

Objet réseau : une seule adresse IP et un masque de sous-réseau.

trois types : hôte, sous-réseau ou plage d'adresses.
Configurez les objets réseau via la commande object network.

Objet de service : protocole et les ports source et/ou de destination facultatifs.

Objet de service configuré à l'aide de la commande object service .
 Types d’objets
les objets peuvent être connectés ou détachés d'un ou plusieurs groupes d'objets,
Donc les objets ne sont pas dupliqués mais peuvent être réutilisés selon les besoins.
Ces objets sont disponibles dans NAT, les listes d'accès et les groupes d'objets.
En faitles objets réseau constituent une partie importante de la configuration du NAT.

Deux types d'objets peuvent être configurés :

Objet réseau : une seule adresse IP et un masque de sous-réseau.

trois types : hôte, sous-réseau ou plage d'adresses.
Configurez les objets réseau via la commande object network.

Objet de service : protocole et les ports source et/ou de destination facultatifs.

Objet de service configuré à l'aide de la commande object service .
Exemple de configuration
Un nom d’objet seule
paire d’adresse IP et
de masque.
Une seule instruction
dans l’objet réseau.
Le deuxième couple
adresse IP/masque,
remplacera l’ancienne.
 Exemple de configuration
Un nom d’objet seule
paire d’adresse IP et de
masque.
Une seule instruction
dans l’objet réseau.
Le deuxième couple
adresse IP/masque,
remplacera l’ancienne.

clear config object network efface tous les objets réseau

 Exemple de configuration

Un nom d'objet de service peut être associé à un seul protocole et à un seul port (ou à plusieurs
ports). Si vous configurez un objet de service existant avec un protocole et un port différents, la
nouvelle configuration remplace le protocole et le port existants par les nouveaux.
clear config object service efface tous les objets service
show running-config object service .
 Les groupes d’objet
Les objets peuvent être regroupés pour créer des groupes d'objets. Des groupes d'objets peuvent être utilisés
dans les entrées de contrôle d'accès (ACE) en regroupant des objets sans avoir à saisir une ACE distincte pour
chaque objet.

•Les objets et les groupes d'objets partagent le même espace de noms.

•Les groupes d'objets doivent avoir des noms uniques.

•Les groupes d'objets ne peuvent pas être supprimés ou effacés s'ils sont déjà utilisés dans une commande.

•L'ASA ne prend pas en charge les groupes d'objets imbriqués IPv6.

Les groupes d’objet
 Les groupes d’objet

Les groupes d'objets réseau ne peuvent pas être utilisés pour implémenter NAT.
Les objets réseau sont requis pour implémenter NAT.
Pour vérifier la configuration de l'objet de groupe, utilisez la commande show running-config object-group .
 Les groupes d’objet

Les groupes d'objets réseau ne peuvent pas être utilisés pour implémenter NAT.
Les objets réseau sont requis pour implémenter NAT.
Pour vérifier la configuration de l'objet de groupe, utilisez la commande show running-config object-group .
Les groupes d’objet
ACL ASA
 Les ACL

Les ACL ASA diffèrent des ACL IOS dans la mesure où elles utilisent un masque de réseau normal
La plupart des ACL ASA sont nommées plutôt que numérotées
 Les ACL
En utilisant les ACL sur les appareils de sécurité, vous pouvez filtrer non seulement les paquets
transitant par l'appareil, mais également les paquets destinés à l'appareil.

trafic circulant d'une interface à une autre via un dispositif de sécurité.

étape 1 : consiste à configurer l’ACL.
étape 2 : consiste à appliquer l'ACL à l'interface.
L’accès administratif, le filtrage du trafic destiné à l'ASA. Introduit dans la version 8.0.
Peut être en une seule étape, nécessite des règles supplémentaires pour appliquer le contrôle d'accès.
 Les ACL

l'ACL doit être configurée explicitement pour autoriser le trafic d'un niveau de sécurité inférieur vers un
niveau de sécurité supérieur
Pour autoriser les connexions aux interfaces du même niveau de sécurité, utilisez
same-security-trafic permit inter-interface
Pour activer le trafic vers et depuis la même interface, par exemple, le trafic chiffré entrant dans l'interface
puis étant acheminé non chiffré hors de la même interface, utilisez la commande de mode de configuration
globale same-security-trafic permit intra-interface .
Utilisation des ACL
Liste d’accès étendue
 Utilisation des ACL

Liste d’accès standard

Liste d’accès IPv6

Exemples ACL
Configuration ACL
Configuration ACL
Exemple de groupe d'objets d'utilisation d'ACL
Le NAT ASA
 Type de NAT ASA
NAT dynamique :
Un pool d’adresses privées interne nécessite un autre pool d’adresses publiques.

PAT dynamique « surcharge NAT »

Plusieurs vers une. Un pool d’adresses privées internes surcharge les interfaces externes ou les adresses externes.

NAT statique
Traduction individuelle. Habituellement, les adresses externes sont mappées sur des serveurs internes.

NAT de stratégie – Le NAT basé sur des politiques est basé sur un ensemble de règles.
Spécifier que seules certaines adresses source pour des adresses de destination spécifiques et/ou des ports spécifiques
doivent être traduites.
 Type de NAT ASA
Les trois types de NAT suivants sont appelés NAT d'objet réseau car cette configuration nécessite la configuration
d'objets réseau.
 Type de NAT ASA
Les trois types de NAT suivants sont appelés NAT d'objet réseau car cette configuration nécessite la configuration
d'objets réseau.
Configurer le NAT dynamique
 Configurer le NAT dynamique

show xlate ,
show nat
nat detail
 Configurer le PAT

show xlate ,
show nat
nat detail
 Configurer le NAT Statique

show xlate ,
show nat
nat detail
 Configurer le NAT Statique

show xlate ,
show nat
nat detail
 Configurer le NAT Statique

show xlate ,
show nat
nat detail
Configuration TACACS sur ASA
Configuration TACACS sur ASA
Configuration TACACS sur ASA