Distribution de vidéo et de contenu : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Configurer et dépanner le pare-feu PIX avec un simple réseau interne

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco.


Contenu


Introduction

Cet exemple de configuration explique comment configurer une appliance de sécurité pour séparer un réseau d'entreprise d'Internet.

Conditions préalables

Conditions requises

Le réseau interne a un serveur Web, un serveur de courrier et un serveur FTP auxquels les utilisateurs sur Internet peuvent accéder. Tout autre accès aux hôtes sur le réseau interne est refusé aux utilisateurs externes.

  • Adresse réelle du serveur Web - 192.168.1.4 ; Adresse Internet 10.1.1.3

  • Adresse réelle du serveur de courrier - 192.168.1.15 ; Adresse Internet 10.1.1.4

  • Adresse réelle du serveur FTP - 192.168.1.10 ; Adresse Internet 10.1.1.5

Tous les utilisateurs sur le réseau interne on un accès à Internet sans restriction. Les utilisateurs internes sont autorisés à envoyer une commande ping aux périphériques sur Internet, mais les utilisateurs sur Internet ne sont pas autorisés à envoyer une commande ping aux périphériques à l'intérieur.

La société utilisée dans cette configuration a acheté un réseau de classe A auprès de son ISP (10.1.1.x). Les adresses .1 et .2 sont réservées au routeur externe et à l'interface externe du PIX respectivement. Les adresses .3 à .5 sont utilisées pour les serveurs internes auxquels les utilisateurs sur Internet peuvent accéder. Les adresses .6 à .14 sont réservées pour une utilisation future pour les serveurs auxquels les utilisateurs externes peuvent accéder.

Le pare-feu PIX dans l'exemple a quatre cartes d'interface réseau, mais seules deux d'entre elles sont en service. Le PIX est installé pour envoyer des Syslog à un serveur Syslog à l'intérieur avec une adresse IP de 192.168.1.220 (non illustré dans le Schéma de réseau).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Pare-feu Cisco PIX 535

  • Logiciel pare-feu Cisco PIX Versions 6.x et ultérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le serveur de sécurité adaptatif dédié de la gamme Cisco 5500, qui exécute les versions 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/13825/single-net-1.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 <http://www.ietf.org/rfc/rfc1918.txt?number=1918> qui ont été utilisées dans un environnement de laboratoire.

Configuration de PIX 6.x

Remarque: Des commandes Nondefault sont illustrées en gras.

PIX
Building configuration... 
: Saved 
: 
PIX Version 6.3(3) 
nameif gb-ethernet0 outside security0 
nameif gb-ethernet1 inside security100 
nameif ethernet0 intf2 security10 
nameif ethernet1 intf3 security15 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname pixfirewall 


!--- Output Suppressed




!--- Create an access list to allow pings out 
!--- and return packets back in. 

access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any time-exceeded  
access-list 100 permit icmp any any unreachable  


!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 

access-list 100 permit tcp any host 10.1.1.3 eq www  
access-list 100 permit tcp any host 10.1.1.4 eq smtp  
access-list 100 permit tcp any host 10.1.1.5 eq ftp 
pager lines 24 


!--- Enable logging. 

logging on 
no logging timestamp 
no logging standby 
no logging console 
no logging monitor 


!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 

logging buffered errors 


!--- Send notification and more severe syslog messages
!--- to the syslog server. 

logging trap notifications 
no logging history 
logging facility 20 
logging queue 512 


!--- Send syslog messages to a syslog server 
!--- on the inside interface. 

logging host inside 192.168.1.220 


!--- All interfaces are shutdown by default. 

interface gb-ethernet0 1000auto 
interface gb-ethernet1 1000auto 
interface ethernet0 auto shutdown 
interface ethernet1 auto shutdown 
mtu outside 1500 
mtu inside 1500 
mtu intf2 1500 
mtu intf3 1500 
ip address outside 10.1.1.2 255.255.255.0 
ip address inside 192.168.1.1 255.255.255.0 
ip address intf2 127.0.0.1 255.255.255.255 
ip address intf3 127.0.0.1 255.255.255.255 
ip audit info action alarm 
ip audit attack action alarm 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
failover ip address intf2 0.0.0.0 
failover ip address intf3 0.0.0.0 
arp timeout 14400 


!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

global (outside) 1 10.1.1.15-10.1.1.253 


!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.

global (outside) 1 10.1.1.254 


!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 


!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.

static (inside,outside) 10.1.1.3 192.168.1.4 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.

static (inside,outside) 10.1.1.4 192.168.1.15 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.

static (inside,outside) 10.1.1.5 192.168.1.10 
   netmask 255.255.255.255 0 0 


!--- Apply access list 100 to the outside interface.

access-group 100 in interface outside 


!--- Define a default route to the ISP router.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 


!--- Output Suppressed




!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 

telnet 192.168.1.254 255.255.255.255 inside 
: end 
[OK] 


!--- Output Suppressed

Configurer PIX/ASA Versions 7.x et ultérieures

Remarque: Des commandes Nondefault sont illustrées en gras.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!


!--- Output Suppressed



!--- Create an access list to allow pings out 
!--- and return packets back in.


access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable



!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 


access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
pager lines 24


!--- Enable logging.


logging enable



!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 


logging buffered errors



!--- Send notification and more severe syslog messages
!--- to the syslog server. 


logging trap notifications



!--- Send syslog messages to a syslog server 
!--- on the inside interface. 



logging host inside 192.168.1.220

mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400



!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.1.1.15-10.1.1.253



!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.


global (outside) 1 10.1.1.254



!--- !--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0



!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.


static (inside,outside) 10.1.1.3 192.168.1.4 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.


static (inside,outside) 10.1.1.4 192.168.1.15 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.


static (inside,outside) 10.1.1.5 192.168.1.10 netmask 255.255.255.255



!--- Apply access list 100 to the outside interface.


access-group 100 in interface outside



!--- !--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.1.1.1 1


!--- Output Suppressed



!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 


telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
: end


!--- Output Suppressed

REMARQUE: Pour plus d'informations sur la configuration de NAT et de PAT sur PIX/ASA, consultez Instructions NAT et PAT sur PIX/ASA 7.x.

Pour plus d'informations sur la configuration des listes d'accès sur PIX/ASA, consultez PIX/ASA 7.x : Redirection (transfert) de port avec les commandes nat, global, static et access-list.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show interface - Affiche les statistiques d'interface.

  • show traffic - Affiche la quantité de trafic qui passe par le PIX.

  • show xlate - Affiche les traductions actuelles établies via le PIX.

  • show conn - Affiche les connexions actuelles via le PIX.

    REMARQUE: Pour plus d'informations sur la façon de dépanner PIX/ASA, consultez Dépanner les connexions via le PIX et l'ASA.

Dépannage des commandes

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • debug icmp trace — Affiche toutes les requêtes d'écho d'Internet Control Message Protocol (ICMP) envoyées à ou via le PIX.

Dépanner des problèmes courants

Si vous obtenez le résultat de commande write terminal à partir de votre périphérique Cisco, vous pouvez utiliser l'outil Interpréteur de sortie (clients enregistrés uniquement) pour afficher les problèmes potentiels ainsi que les correctifs.

  • Le pool NAT (et l'adresse PAT - à l'exception de l'interface PAT) doit utiliser les adresses IP qui ne sont utilisées par aucun autre périphérique sur le réseau. Ceci inclut les adresses statiques (pour des traductions) ou les adresses utilisées sur les interfaces.

    Si vous possédez le logiciel PIX versions 5.2 ou ultérieures, l'adresse d'interface externe du PIX peut être utilisée pour PAT. C'est utile si une seule adresse externe est disponible ou si vous devez économiser votre espace d'adresse IP.

    Pour activer PAT sur l'adresse d'interface externe, supprimez l'adresse pool NAT et l'adresse PAT globales de la configuration et utilisez l'adresse IP d'interface externe comme adresse PAT.

    ip address outside 10.1.1.2
    nat (inside) 1 0 0 global (outside) 1 interface

    Remarque: Quelques applications multimédias peuvent être en conflit avec des mappages de port fournis par PAT. PAT ne fonctionne pas avec la commande établie. PAT fonctionne avec Domain Name System (DNS), FTP et FTP passif, HTTP, la messagerie électronique, remote-procedure call (RPC), rshell, Telnet, le filtrage d'URL et le traceroute de sortie. Plusieurs versions de PIX prennent en charge H.323 avec PAT sur plusieurs versions. H.323v2 avec la prise en charge PAT a été ajouté dans la version 6.2.2, alors que H.323v3 et v4 avec la prise en charge PAT étaient ajoutés dans la version 6.3.

  • Vous devez avoir une liste d'accès (ou un conduit) pour autoriser l'accès à vos serveurs. L'accès entrant n'est pas autorisé par défaut.

    Remarque: La commande conduit a été remplacée par la commande access-list. Cisco vous recommande de migrer votre configuration avec la commande conduit pour conserver la future compatibilité.

  • Après toute liste d'accès, il y a une commande deny ip any any implicite.

  • Si le serveur DNS est à l'extérieur du PIX et que les utilisateurs internes veulent accéder aux serveurs internes avec leur nom DNS, alors la commande alias doit être utilisée pour soigner la réponse DNS du serveur DNS.

  • Si vous avez toujours des problèmes après avoir passé en revue ces problèmes courants, complétez ces étapes :

    1. Vérifiez que vous disposez de la connectivité IP entre les deux périphériques. Pour cela, connectez la console dans le PIX, ou Telnet dans le PIX. Émettez les commandes terminal monitor et debug icmp trace commands.

    2. Si les utilisateurs internes ont des difficultés pour accéder à Internet, envoyez une commande ping au serveur auquel vous essayez d'accéder et voyez si vous obtenez une réponse. Si vous ne recevez pas de réponse, consultez les instructions de débogage et assurez-vous de voir la demande d'écho ICMP sortir via le PIX. Si vous ne voyez pas les demandes d'écho, vérifiez alors la passerelle par défaut de la machine source. Typiquement, c'est le PIX.

      En outre, utilisez nslookup sur le client et assurez-vous qu'il peut résoudre l'adresse IP du serveur que vous essayez d'atteindre.

    3. Quand vous avez la connectivité IP, désactivez debug icmp trace et activez logging console debug (si connecté à la console) ou logging monitor debug (si connecté au PIX par l'intermédiaire de Telnet). Les messages syslog s'affichent alors sur votre écran. Essayez de vous connecter au serveur et observez les syslog pour voir si un trafic quelconque est refusé. Le cas échéant, les syslog devraient vous donner une bonne idée de la cause du refus. Vous pouvez également consulter la description des messages syslog.

    4. Si les utilisateurs externes ne peuvent pas accéder à vos serveurs internes :

      1. Vérifiez la syntaxe de votre commande static.

      2. Revérifiez que vous avez autorisé l'accès avec vos instructions de commande access-list.

      3. Revérifiez que vous avez appliqué la liste d'accès avec la commande access-group.

    5. Si vous êtes un utilisateur enregistré et que vous êtes connecté, vous pouvez dépanner vos problèmes PIX avec l'outil TAC Case Collection (clients enregistrés uniquement).

Informations à collecter si vous ouvrez une demande de service TAC

Si vous avez encore besoin d'aide après avoir suivi les étapes de dépannage ci-dessus et que vous voulez ouvrir une demande de service avec le TAC Cisco, n'oubliez pas d'inclure les informations suivantes pour le dépannage de votre pare-feu PIX.
  • Description du problème et des détails topologiques pertinents
  • Dépannage exécuté avant d'ouvrir la demande de service
  • Sortie de la commande show tech-support
  • Sortie de la commande show log après l'exécution avec la commande logging buffered debugging , ou les captures de console qui expliquent le problème (si disponible)
Veuillez joindre les données rassemblées à votre demande de service en format non compressé et texte clair (.txt). Vous pouvez joindre des informations à votre demande de service en la téléchargeant à l'aide de l'outil de requête de demande de service (clients enregistrés uniquement). Si vous ne pouvez pas accéder à l'outil de requête de demande de service, vous pouvez envoyer l'information en pièce jointe dans un e-mail à attach@cisco.com avec votre numéro de demande de service dans le sujet du message.


Informations connexes


Document ID: 13825