Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Serveurs de sécurité adaptatifs Gamma ASA 5505, version 8.3

29 novembre 2010 - Traduction humaine
Autres versions: PDFpdf | Anglais (31 janvier 2011) | Commentaires

Table des matires

1. Vrification du contenu du coffret

2. Installation du chssis

3. Mise sous tension et vrification de la connectivit de l'interface

Connectivit de l'interface

4. Observations sur la configuration initiale

5. Lancement de l'ASDM (Adaptive Security Device Manager)

6. Excution de l'assistant de dmarrage dans ASDM

7. (Facultatif) Accs aux services internes partir d'Internet (ASDM 6.2 et version ultrieure)

8. (Facultatif) Excution des assistants VPN pour configurer les tunnels VPN

9. (Facultatif) Excution des assistants VPN pour la connectivit d'accs distance (ASDM 6.0 ou version ultrieure)

10. (Facultatif) Configuration de la SSC dans l'ASDM (ASDM 6.2 et version ultrieure)

Dispositif de scurit adaptatif Cisco ASA 5505


Avant d'installer le Dispositif de scurit adaptatif Cisco ASA 5505, veuillez lire le document Conformit aux rglementations et informations concernant la scurit de la gamme Cisco ASA 5500 sur Cisco.com ou sur le CD de documentation accompagnant le chssis.


Remarque Pour consulter les documents en franais (y compris les nouveauts), identifiez-vous : http://www.cisco.com/cisco/web/CA/fr/support/index.html


1. Vrification du contenu du coffret

2. Installation du chssis

Le ASA est livr avec une configuration par dfaut qui comprend deux rseaux prconfigurs (le rseau interne et le rseau externe) ainsi qu'une interface interne configure avec l'adressage dynamique. Les clients du rseau interne obtiennent une adresse dynamique sur le ASA afin de pouvoir communiquer les uns avec les autres et avec les priphriques, sur Internet.

tape 1 Connectez l'une des extrmits du cble Ethernet direct jaune au port 0 du ASA. (Le port de commutation 0 est l'interface externe par dfaut.) Connectez l'autre extrmit un modem cble/DSL/ISDN (le rseau externe).

tape 2 Connectez vos priphriques (PC, imprimantes et serveurs, entre autres) aux ports 1 7, avec des cbles Ethernet directs.


Remarque Connectez un PC au ASA, pour pouvoir excuter l'application Adaptive Security Device Manager (ASDM). Voir  4. Observations sur la configuration initiale .


tape 3 Connectez des priphriques PoE (camras, rseau et tlphones IP Cisco, par exemple) aux ports de commutation 6 ou 7 (seuls ports alimentant les priphriques PoE), avec des cbles Ethernet directs.

Si vous connectez un serveur (tel qu'un serveur Web) au ASA, vous pouvez utiliser l'ASDM pour donner accs aux services de ce serveur aux utilisateurs internes et externes. Voir  7. (Facultatif) Accs aux services internes partir d'Internet (ASDM 6.2 et version ultrieure) .


3. Mise sous tension et vrification de la connectivit de l'interface


tape 1 Connectez l'adaptateur d'alimentation au cble d'alimentation.

tape 2 Reliez le connecteur rectangulaire de l'adaptateur d'alimentation au connecteur d'alimentation situ sur le panneau arrire du ASA.

tape 3 Reliez le connecteur d'alimentation CA du cble d'alimentation une prise de courant. (Le ASA ne possde pas d'interrupteur d'alimentation. Effectuez cette dmarche pour mettre le priphrique sous tension.)

tape 4 Vrifiez le voyant DEL d'alimentation situ l'avant du ASA. S'il est vert fixe, le priphrique est sous tension.

tape 5 Si vous connectez un PC au ASA, pour excuter l'ASDM, redmarrez le PC. (Le PC obtient une adresse IP sur le ASA et doit tre relanc.)

tape 6 Contrlez les tmoins LINK/ACT afin de vrifier la connectivit de l'interface.


Connectivit de l'interface

Chaque interface Ethernet possde un voyant DEL qui indique si une liaison physique est ou non tablie. Si le voyant DEL est vert fixe, une liaison est tablie. Si le voyant DEL met un clignotement vert, le rseau est actif.

Si un voyant DEL LINK/ACT n'est pas allum, le problme de liaison peut provenir d'une disparit de duplex. Si la ngociation automatique est dsactive, vrifiez que vous utilisez un cble Ethernet direct.

Pour obtenir une description de tous les composants du chssis, reportez-vous au Guide d'installation du matriel de la gamme Cisco ASA 5500, sur le CD?de documentation ou sur Cisco.com.

4. Observations sur la configuration initiale

Le ASA est livr avec une configuration par dfaut qui, dans la plupart des cas, s'avre suffisante pour un dploiement de base. Pour configurer le ASA, utilisez l'application Adaptive Security Device Manager (ASDM). ASDM est une interface graphique vous permettant de grer le ASA depuis n'importe quel emplacement, l'aide d'un navigateur Web.

Pour plus d'informations sur les conditions requises pour excuter votre version d'ASDM, reportez-vous aux notes de version d'ASDM.

Toutefois, il est recommand voire ncessaire de modifier certains paramtres. Nous vous recommandons par exemple de modifier les paramtres par dfaut suivants :

Le mot de passe du mode privilgi (enable) requis pour grer le ASA via l'ASDM et l'interface CLI

Lorsque vous utilisez le ASA comme point de terminaison VPN ( l'aide des fonctionnalits SSL VPN) :

Nom d'hte, nom de domaine et noms de serveur DNS

Dfinition d'une adresse IP d'interface externe statique

Cration d'un certificat d'identit

Configuration des noms WINS, lorsque l'accs aux partages de fichiers Windows est requis

Pour procder aux modifications, utilisez l'assistant de dmarrage dans l'ASDM. Voir  6. Excution de l'assistant de dmarrage dans ASDM .

5. Lancement de l'ASDM (Adaptive Security Device Manager)


tape 1 Sur le PC connect au ASA, lancez un navigateur Web. (Vrifiez que Java et JavaScript sont activs dans votre navigateur Web. Pour plus d'informations sur les conditions requises pour excuter votre version d'ASDM, reportez-vous aux notes de version d'ASDM.)

tape 2 Dans la barre d'adresse, entrez l'URL suivante : https://192.168.1.1/admin. La page Web Cisco ASDM apparat.

tape 3 Cliquez sur Run Startup Wizard (Excuter l'assistant de dmarrage).

tape 4 Cliquez sur Yes, dans chaque bote de dialogue, pour accepter les certificats. Le lanceur d'application Cisco ASDM-IDM apparat.

tape 5 Ne remplissez pas les champs de l'identifiant et du mot de passe et cliquez sur OK.

La fentre principale de l'ASDM apparat et l'assistant de dmarrage s'ouvre. Voir  6. Excution de l'assistant de dmarrage dans ASDM .


6. Excution de l'assistant de dmarrage dans ASDM

Excutez l'assistant de dmarrage pour modifier la configuration par dfaut, afin de personnaliser la politique de scurit pour l'adapter votre dploiement.

Pour excuter l'assistant de dmarrage :


tape 1 Dans la fentre principale de l'ASDM, choisissez Wizards > Startup Wizard.

tape 2 Suivez les instructions de l'assistant de dmarrage pour configurer votre serveur de scurit adaptatif.

Lors du lancement de l'assistant, si vous obtenez un message d'erreur demandant une licence DES ou 3DES-AES ou si vous souhaitez en savoir plus sur votre licence, slectionnez Configuration > Device Management > Licensing.

tape 3 Lorsque vous excutez l'assistant, vous pouvez accepter les paramtres par dfaut ou les modifier, pour rpondre vos besoins. (Pour obtenir des informations sur les champs de l'assistant, cliquez sur Help, dans la fentre.)


Aprs avoir excut l'assistant de dmarrage, vous pouvez excuter d'autres assistants pour configurer l'accs distance avec le ASA. Voir "8. (Facultatif) Excution des assistants VPN pour configurer les tunnels VPN" et  9. (Facultatif) Excution des assistants VPN pour la connectivit d'accs distance (ASDM 6.0 ou version ultrieure) .

7. (Facultatif) Accs aux services internes partir d'Internet (ASDM 6.2 et version ultrieure)

En tant que chef d'entreprise, vous disposez peut-tre de services rseau internes, tel que des serveurs Web ou FTP, qui doivent tre accessibles aux utilisateurs externes. Vous pouvez placer ces services sur un rseau distinct, appel zone dmilitarise (DMZ), derrire le ASA. Le ASA octroie un accs limit la zone DMZ et comprend uniquement des serveurs publics. Une attaque dans cette zone n'affecte pas le rseau interne.

Le volet Public Servers (disponible pour ASDM 6.2 et version ultrieure) affiche la liste des serveurs publics, des adresses internes et externes, les interfaces auxquelles s'appliquent les adresses internes ou externes, et le service expos.

Pour configurer l'accs aux serveurs publics :


tape 1 Dans la fentre principale de l'ASDM, slectionnez Configuration > Firewall > Public Servers. Le volet Public Servers s'affiche.

tape 2 Cliquez sur Add, puis tapez les paramtres de serveur public dans la bote de dialogue. (Pour obtenir des informations sur un champ, cliquez sur Help, dans la bote de dialogue.)

tape 3 Cliquez sur OK. Le serveur apparat dans la liste.

tape 4 Cliquez sur Apply, pour soumettre la configuration au ASA.


8. (Facultatif) Excution des assistants VPN pour configurer les tunnels VPN

Les assistants VPN pour la configuration des tunnels VPN vous permettent de configurer les connexions site site (LAN LAN) et des connexions VPN d'accs distance de base.

Pour excuter un assistant VPN pour configurer un tunnel VPN :


tape 1 Dans la fentre principale de l'ASDM, choisissez Wizards > VPN Wizards > Site-to-Site VPN Wizard ou IPSec (IKEv1) Remote Access VPN Wizard.

(Dans ASDM 6.3 ou version antrieure, choisissez Wizards > IPSec VPN Wizard > Type de tunnel—Site-to-Site ou Remote Access.)

tape 2 Suivez les instructions de l'assistant. (Pour obtenir des informations sur les champs de l'assistant, cliquez sur Help, dans la fentre.)


9. (Facultatif) Excution des assistants VPN pour la connectivit d'accs distance (ASDM 6.0 ou version ultrieure)

Les assistants VPN pour la connectivit d'accs distance (SSL sans client ou client Anyconnect) vous permettent de configurer une politique VPN SSL sur votre dispositif ASA. La connexion VPN SSL sans client, sur navigateur permet aux utilisateurs d'tablir un tunnel VPN d'accs distance scuris pour le dispositif ASA, avec un navigateur Web. Aprs authentification, les utilisateurs accdent une page de portail et peuvent accder des ressources internes spcifiques et prises en charge. L'administrateur rseau fournit aux utilisateurs un accs aux ressources, au niveau du groupe. Les utilisateurs ne peuvent pas accder directement aux ressources du rseau interne. Le client VPN AnyConnect Cisco fournit des connexions SSL scurises au ASA pour les utilisateurs distants, avec un tunneling VPN complet pour les ressources d'entreprise. Le ASA tlcharge le client AnyConnect pour les utilisateurs distants.

Pour excuter un assistant VPN pour la connectivit d'accs distance :


tape 1 Dans la fentre principale de l'ASDM, choisissez Wizards > VPN Wizards > AnyConnect VPN Wizard ou Clientless VPN Wizard.

(Dans ASDM 6.3 ou version antrieure, choisissez Wizards > SSL VPN Wizard > Type de connexion VPN SSL—Clientless, Cisco SSL, ou les deux.)

tape 2 Suivez les instructions de l'assistant. (Pour obtenir des informations sur les champs de l'assistant, cliquez sur Help, dans la fentre.)


10. (Facultatif) Configuration de la SSC dans l'ASDM (ASDM 6.2 et version ultrieure)

Si votre dispositif ASA est livr avec une carte de services de scurit (SSC), vous pouvez utiliser l'ASDM (disponible pour ASDM 6.2 et version ultrieure) pour configurer la SSC ainsi que l'application du systme de prvention des intrusions (IPS) excuter sur cette dernire. La SSC ne requiert pas d'interface externe.

Pour configurer la carte SSC et l'application IPS :


tape 1 Dans la fentre principale de l'ASDM, slectionnez Configuration > Device Setup > SSC Setup. Le volet SSC s'affiche.

tape 2 Remplissez les champs de configuration de la carte SSC et cliquez sur Apply. (Pour obtenir des informations sur un champ, cliquez sur Help, dans la bote de dialogue.)

tape 3 Pour configurer le module IPS sur la carte SSC, cliquez sur le lien du module IPS SSC. L'assistant de dmarrage apparat. Cliquez sur Launch Startup Wizard (Lancer l'assistant de dmarrage). (Vous pouvez galement slectionner Configure > IPS > Sensor Setup > Startup Wizard, pour accder l'assistant.)


Guide de dmarrage rapide

Dispositif de scurit adaptatif Cisco ASA 5505