Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Exemple de configuration d'un pare-feu transparent

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Traditionnellement, un pare-feu est un saut de routeur qui agit en tant que passerelle par défaut pour les serveurs qui se connectent à l'un de ses sous-réseaux tramés. Un pare-feu transparent, d'un autre côté, est un pare-feu de la couche 2 qui agit comme une « bosse sur le fil » ou un « pare-feu furtif, » et il n'est pas vu comme un saut de routeur aux périphériques connectés. L'appliance de sécurité connecte le même réseau sur ses ports intérieurs et extérieurs. Puisque le pare-feu n'est pas un saut de routeur, vous pouvez facilement introduire un pare-feu transparent dans le réseau existant ; il est inutile de réadresser l'IP.

La maintenance est facilitée parce qu'il n'y a pas de modèles de routage compliqués à dépanner et aucune configuration NAT.

Bien que le mode transparent agisse en tant que pont, le trafic de couche 3, comme le trafic IP, ne peut pas passer par l'appliance de sécurité à moins que vous le permettiez explicitement avec une liste d'accès étendue. Le seul trafic permis à travers le pare-feu transparent sans liste d'accès est le trafic ARP. Le trafic ARP peut être contrôlé par l'inspection ARP.

En mode routé, quelques types de trafic ne peuvent pas passer à travers l'appliance de sécurité même si vous l'autorisez dans une liste d'accès. Alternativement, le pare-feu transparent peut autoriser tout trafic à travers une liste d'accès étendue (pour le trafic IP) ou une liste d'accès EtherType (pour le trafic non-IP).

Par exemple, vous pouvez établir des juxtapositions de protocole de routage à travers un pare-feu transparent ; vous pouvez permettre le trafic VPN (IPSec), OSPF, RIP, EIGRP ou BGP sur la base d'une liste d'accès étendue. De même, les protocoles tels que HSRP ou VRRP peuvent passer par l'appliance de sécurité.

Le trafic non-IP (par exemple, AppleTalk, IPX, BPDUs et MPLS) peut être configuré pour aller de pair avec une liste d'accès EtherType.

Pour les caractéristiques qui ne sont pas directement prises en charge sur le pare-feu transparent, vous pouvez laisser le trafic passer de façon à ce que les routeurs en amont et en aval puissent prendre en charge la fonctionnalité. Par exemple, avec une liste d'accès étendue, vous pouvez autoriser le trafic DHCP (au lieu de la fonctionnalité de relais DHCP non prise en charge) ou le trafic de multidiffusion, comme celui créé par IP/TV.

Quand l'appliance de sécurité fonctionne dans un mode transparent, l'interface de sortie d'un paquet est déterminée par une recherche d'adresse MAC plutôt qu'une recherche de route. Des instructions de route peuvent encore être configurées, mais elles s'appliquent seulement au trafic généré par l'appliance de sécurité. Par exemple, si votre serveur de Syslog se situe sur un réseau distant, vous devez utiliser une route statique, afin que l'appliance de sécurité puisse atteindre ce sous-réseau.

Vous pouvez configurer l'appliance de sécurité adaptable pour être exécutée dans le mode de pare-feu routé par défaut ou le mode pare-feu transparent . Quand vous changez les modes, l'appliance de sécurité adaptable efface la configuration parce que de nombreuses commandes ne sont pas prises en charge dans les deux modes. Si vous avez déjà une configuration chargée, assurez-vous de sauvegarder cette configuration avant de changer de mode ; vous pouvez utiliser cette configuration de secours pour référence quand vous créez une nouvelle configuration.

Pour le mode de contexte multiple, vous pouvez utiliser seulement un mode pare-feu pour tous les contextes. Vous devez définir le mode dans l'espace d'exécution du système. Pour le mode de contexte multiple, la configuration du système est effacée, qui supprime tous les contextes. Si vous ajoutez encore un contexte avec une configuration existante qui a été créée pour le mode erroné, la configuration du contexte ne fonctionne pas correctement.

Remarque: Assurez-vous de créer vos configurations de contexte pour le mode correct avant de les ajouter de nouveau ou d'ajouter de nouveaux contextes avec de nouveaux chemins pour de nouvelles configurations.

Remarque: Si vous téléchargez une configuration de texte pour l'appliance de sécurité qui change le mode avec la commande firewall transparent, assurez-vous de mettre la commande en haut de la configuration ; l'appliance de sécurité adaptable change le mode dès que la commande est exécutée, puis continue à lire la configuration que vous avez téléchargée. Si la commande se produit plus tard dans la configuration, l'appliance de sécurité adaptable efface toutes les lignes précédentes dans la configuration.

Afin de configurer le mode de contexte multiple dans le pare-feu transparent , reportez-vous au Mode multiple, pare-feu transparent avec accès externe

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ASA avec version 7.x et postérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec les versions de matériel et de logiciel suivantes :

  • Appliance de sécurité PIX avec 7.x et postérieures

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Pare-feu transparent

Instructions

Suivez ces instructions quand vous planifiez votre réseau de pare-feu transparent :

  • Une adresse de gestion IP est requise ; pour le mode de contexte multiple, une adresse IP est requise pour chaque contexte.

    À la différence du mode routé, qui exige une adresse IP pour chaque interface, un pare-feu transparent a une adresse IP affectée au périphérique entier. L'appliance de sécurité utilise cette adresse IP comme adresse source pour les paquets créés sur l'appliance de sécurité, tels que les messages de système ou communications AAA.

    L'adresse IP de gestion doit être sur le même sous-réseau que le réseau connecté. Vous ne pouvez pas configurer le sous-réseau sur un réseau interne (255.255.255.255).

  • L'appliance de sécurité transparente utilise seulement une interface interne et une interface externe. Si votre plate-forme inclut une interface de gestion dédiée, vous pouvez également configurer l'interface de gestion ou sous-interface pour la gestion du trafic seulement.

    En mode unique, vous pouvez seulement utiliser deux interfaces de données (et l'interface de gestion concernée, si disponible) même si votre appliance de sécurité comprend plus de deux interfaces.

  • Chaque réseau directement connecté doit être sur le même sous-réseau.

  • Ne spécifiez pas l'adresse IP de gestion d'appliance de sécurité comme passerelle par défaut pour les périphériques connectés ; les périphériques doivent spécifier le routeur de l'autre côté de l'appliance de sécurité en tant que passerelle par défaut.

  • Pour le mode contexte multiple, chaque contexte doit utiliser différentes interfaces ; vous ne pouvez pas partager d'interface à travers des contextes.

  • Pour le mode contexte multiple, chaque contexte utilise généralement un sous-réseau différent. Vous pouvez utiliser des sous-réseaux qui se superposent, mais votre topologie du réseau implique que la configuration du routeur et NAT rende cela possible au point de vue du routage.

  • Vous devez utiliser une liste d'accès étendue pour autoriser le trafic de couche 3, comme le trafic IP, à travers l'appliance de sécurité.

    Vous pouvez également utiliser en option une liste d'accès EtherType pour permettre le passage du trafic non-IP.

Adresses MAC autorisées

Ces adresses MAC de destination ont la permission de passer à travers le pare-feu transparent. Toute adresse MAC ne figurant pas sur cette liste est abandonnée.

  • L'adresse MAC de destination de VÉRITABLE diffusion équivaut à FFFF.FFFF.FFFF

  • Addresses MAC multicast Ipv4 de 0100.5E00.0000 à 0100.5EFE.FFFF

  • Addresses MAC multicast Ipv6 de 3333.0000.0000 à 3333.FFFF.FFFF

  • L'adresse multicast BPDU est égale à 0100.0CCC.CCCD

  • Adresses MAC multicast AppleTalk de 0900.0700.0000 à 0900.07FF.FFFF

Fonctions non prises en charge

Ces fonctions ne sont pas prises en charge en mode transparent :

  • NAT /PAT

    NAT est exécuté sur le routeur en amont.

    Remarque: Commençant par ASA/PIX 8.0(2), NAT/PAT est pris en charge dans le pare-feu transparent. Référez-vous à NAT dans le pour en savoir plus de mode transparent.

  • Protocoles de routage dynamique (tels que la RIP, EIGRP, OSPF)

    Vous pouvez ajouter des routes statiques pour le trafic qui est créé sur l'appliance de sécurité. Vous pouvez également permettre des protocoles de routage dynamique à travers l'appliance de sécurité avec une liste d'accès étendue.

    Remarque: IS-IS est le protocole IP 124 (is-is au-dessus d'ipv4). Des paquets transitoires IS-IS peuvent être autorisés à travers le mode transparent sous la forme d'un ACL qui autorise le protocole 124. Le mode transparent prend en charge tous les protocoles IP 255.

  • IPv6

  • Relais DHCP

    Le pare-feu transparent peut agir en tant que serveur DHCP, mais il ne prend pas en charge les commandes de relais DHCP. Le relais DHCP n'est pas nécessaire parce que vous pouvez permettre le passage du trafic DHCP à travers une liste d'accès étendue.

  • Qualité de service (QoS)

  • Multidiffusion

    Vous pouvez autoriser le trafic de multidiffusion à travers l'appliance de sécurité si vous le permettez dans une liste d'accès étendue. Dans un pare-feu transparent , les listes d'accès doivent faire passer le trafic de multidiffusion du plus élevé au plus faible ainsi que les zones de sécurité de plus faibles à plus élevées. Dans des pare-feux normaux, les zones de sécurité de plus élevées à plus faibles ne sont pas nécessaires. Pour plus d'informations, reportez-vous à la section Passage du trafic dans l'exemple de configuration d'un pare-feu transparent du module de service de pare-feu.

  • Terminaison VPN pour le passage du trafic

    Le pare-feu transparent prend en charge des tunnels VPN de site-à-site pour des connexions de gestion seulement. Il ne termine pas des connexions VPN pour le trafic à travers l'appliance de sécurité. Vous pouvez faire passer le trafic VPN par l'appliance de sécurité avec une liste d'accès étendue, mais elle ne termine pas des connexions de non-gestion.

Remarque: Le mode transparent de l'appliance de sécurité ne passe pas des paquets CDP ou tout paquet qui n'a pas un EtherType valide supérieur ou égal à 0x600.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Le schéma de réseau montre un réseau de pare-feu transparent général où les périphériques externes sont sur le même sous-réseau que les périphériques internes. Le routeur interne et les serveurs semblent être directement connectés au routeur externe.

/image/gif/paws/97853/Transparent-firewall-1.gif

Configurations

ASA 8.x
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!

!--- In order to set the firewall mode to transparent mode

firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500


!--- IP Address for the Management. 
!---  Avoid using this IP Address as a default gateway.
!---  The security appliance uses this address as the source address
!---  for traffic originating on the security appliance, such as system 
!---  messages or communications with AAA servers. You can also use this 
!---  address for remote management access. 


ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1



!--- Output Suppressed



service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#

Les données se déplacent à travers le pare-feu transparent dans différents scénarios

Un utilisateur interne accède au serveur d'e-mail externe

L'utilisateur sur le réseau interne accède au serveur d'e-mail placé dans Internet (à l'extérieur). L'appliance de sécurité reçoit le paquet et ajoute l'adresse MAC source à la table des adresses MAC, s'il y a lieu. Puisqu'il s'agit d'une nouvelle session, il vérifie que le paquet est autorisé selon les termes de la politique de sécurité (listes d'accès, filtres ou AAA).

Remarque: Pour le mode contexte multiple, l'appliance de sécurité classifie d'abord le paquet selon une seule interface.

L'appliance de sécurité enregistre qu'une session est établie. Si l'adresse de destination MAC est dans sa table, l'appliance de sécurité transfère le paquet en dehors de l'interface externe. L'adresse de destination MAC est celle du routeur en amont, 192.168.1.2. Si l'adresse de destination MAC n'est pas dans la table d'appliance de sécurité, l'appliance de sécurité essaie de détecter l'adresse MAC quand elle envoie une requête ARP et un ping. Le premier paquet est lâché.

Le serveur d'e-mail répond à la requête ; parce que la session est déjà établie, le paquet saute les nombreuses recherches associées à un nouvelle connexion. L'appliance de sécurité transfère le paquet à l'utilisateur interne.

Un utilisateur interne visite un serveur Web avec NAT

Si vous activez NAT sur le routeur Internet, le flux du paquet à travers le routeur Internet est légèrement changé.

L'utilisateur sur le réseau interne accède au serveur d'e-mail placé dans Internet (à l'extérieur). L'appliance de sécurité reçoit le paquet et ajoute l'adresse MAC source à la table des adresses MAC, s'il y a lieu. Puisqu'il s'agit d'une nouvelle session, il vérifie que le paquet est autorisé selon les termes de la politique de sécurité (listes d'accès, filtres ou AAA).

Remarque: Pour le mode contexte multiple, l'appliance de sécurité classifie d'abord le paquet selon une seule interface.

Le routeur Internet traduit l'adresse réelle de l'hôte A (192.168.1.5) à l'adresse mappée du routeur Internet (172.16.1.1). Puisque l'adresse mappée n'est pas sur le même réseau que l'interface externe, assurez-vous que le routeur en amont a une route statique vers le réseau mappé qui indique l'appliance de sécurité.

L'appliance de sécurité enregistre qu'une session est établie et transfère le paquet de l'interface externe. Si l'adresse de destination MAC est dans sa table, l'appliance de sécurité transfère le paquet en dehors de l'interface externe. L'adresse de destination MAC est celle du routeur en amont, 172.16.1.1. Si l'adresse de destination MAC n'est pas dans la table d'appliance de sécurité, l'appliance de sécurité essaie de détecter l'adresse MAC quand elle envoie une requête ARP et un ping. Le premier paquet est lâché.

Le serveur d'e-mail répond à la requête ; parce que la session est déjà établie, le paquet saute les nombreuses recherches associées à un nouvelle connexion. L'appliance de sécurité exécute NAT quand il traduit l'adresse mappée en l'adresse réelle, 192.168.1.5.

Un utilisateur interne visite un serveur Web interne

Si l'Hôte A essaie d'accéder au serveur Web interne (10.1.1.1), l'Hôte A (192.168.1.5) envoie le paquet de requête au routeur Internet (puisque c'est une passerelle par défaut) par l'ASA de l'intérieur vers l'extérieur. Alors le paquet est redirigé vers le serveur Web (10.1.1.1) à travers ASA (de l'extérieur vers l'intérieur) et le routeur interne.

/image/gif/paws/97853/Transparent-firewall-1.gif

Remarque: Le paquet de requête revient au serveur Web seulement si l'ASA a une liste d'accès pour permettre le trafic de l'extérieur vers l'intérieur.

Afin de résoudre ceci, changez la passerelle par défaut afin que l'Hôte A (10.1.1.1) soit le routeur interne (192.168.1.3) plutôt que le routeur Internet (192.168.1.2). Ceci évite tout trafic inutile envoyé à la passerelle externe et redirige des occurrences sur le routeur externe (routeur Internet). Il résout également dans le sens inverse, c.-à-d., quand le serveur Web ou tout hôte présent (10.1.1.0/24) à l'intérieur du routeur interne essaie d'accéder à l'Hôte A (192.168.1.5).

Un utilisateur externe visite un serveur Web sur le réseau interne

Ces étapes décrivent comment les données se déplacent à travers l'appliance de sécurité :

Un utilisateur sur le réseau externe demande une page Web du serveur Web interne. L'appliance de sécurité reçoit le paquet et ajoute l'adresse MAC source à la table des adresses MAC, s'il y a lieu. Puisqu'il s'agit d'une nouvelle session, il vérifie que le paquet est autorisé selon les termes de la politique de sécurité (listes d'accès, filtres ou AAA).

Remarque: Pour le mode contexte multiple, l'appliance de sécurité classifie d'abord le paquet selon une seule interface.

L'appliance de sécurité enregistre qu'une session est établie seulement si l'utilisateur externe a l'accès valide au serveur Web interne. La liste d'accès doit être configurée pour permettre à l'utilisateur externe d'avoir accès au serveur Web.

Si l'adresse de destination MAC est dans sa table, l'appliance de sécurité transfère le paquet en dehors de l'interface interne. L'adresse de destination MAC est celle du routeur en aval, 192.168.1.3.

Si l'adresse de destination MAC n'est pas dans la table d'appliance de sécurité, l'appliance de sécurité essaie de détecter l'adresse MAC quand elle envoie une requête ARP et un ping. Le premier paquet est lâché.

Le serveur Web répond à la requête ; parce que la session est déjà établie, le paquet saute les nombreuses recherches associées à un nouvelle connexion. L'appliance de sécurité transfère le paquet à l'utilisateur externe.

Un utilisateur externe essaie d'accéder à un hôte interne

Un utilisateur sur le réseau externe essaie d'atteindre un hôte interne. L'appliance de sécurité reçoit le paquet et ajoute l'adresse MAC source à la table des adresses MAC, s'il y a lieu. Puisqu'il s'agit d'une nouvelle session, il vérifie que le paquet est autorisé selon les termes de la politique de sécurité (listes d'accès, filtres ou AAA).

Remarque: Pour le mode contexte multiple, l'appliance de sécurité classifie d'abord le paquet selon une seule interface.

Le paquet est refusé, et l'appareil de sécurité lâche le paquet parce que l'utilisateur externe n'a pas d'accès à l'hôte interne. Si l'utilisateur externe essaie d'attaquer le réseau interne, l'appliance de sécurité utilise de nombreuses technologies pour déterminer si un paquet est valide pour une session déjà établie.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

ciscoasa(config)# sh firewall
Firewall mode: Transparent

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 97853