PIX/ASA : Configurer et dépanner le pare-feu PIX avec un simple réseau interne

Transcription

1 PIX/ASA : Configurer et dépanner le pare-feu PIX avec un simple réseau interne Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco. Contenu Introduction Conditions préalables Conditions requises Composants utilisés Produits connexes Conventions Configurez Diagramme du réseau Configuration de PIX 6.x Configurer PIX/ASA Versions 7.x et ultérieures Vérifiez Dépannez Dépannage des commandes Dépanner des problèmes courants Informations à collecter si vous ouvrez une demande de service TAC Informations connexes Introduction Cet exemple de configuration explique comment configurer une appliance de sécurité pour séparer un réseau d'entreprise d'internet. Conditions préalables Conditions requises Le réseau interne a un serveur Web, un serveur de courrier et un serveur FTP auxquels les utilisateurs sur Internet peuvent accéder. Tout autre accès aux hôtes sur le réseau interne est refusé aux utilisateurs externes. Adresse réelle du serveur Web ; Adresse Internet Adresse réelle du serveur de courrier ; Adresse Internet Adresse réelle du serveur FTP ; Adresse Internet Tous les utilisateurs sur le réseau interne on un accès à Internet sans restriction. Les utilisateurs internes sont autorisés à envoyer une commande ping aux périphériques sur Internet, mais les utilisateurs sur Internet ne sont pas autorisés à envoyer une commande ping aux périphériques à l'intérieur. La société utilisée dans cette configuration a acheté un réseau de classe A auprès de son ISP ( x). Les adresses.1 et.2 sont réservées au routeur externe et à l'interface externe du PIX respectivement. Les adresses.3 à.5 sont utilisées pour les serveurs internes auxquels les utilisateurs sur Internet peuvent accéder. Les adresses.6 à.14 sont réservées pour une utilisation future pour les serveurs auxquels les utilisateurs externes peuvent accéder. Le pare-feu PIX dans l'exemple a quatre cartes d'interface réseau, mais seules deux d'entre elles sont en service. Le PIX est installé pour envoyer des Syslog à un serveur Syslog à l'intérieur avec une adresse IP de (non illustré dans le Schéma de réseau). Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Pare-feu Cisco PIX 535

2 Logiciel pare-feu Cisco PIX Versions 6.x et ultérieures Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Produits connexes Cette configuration peut également être utilisée avec le serveur de sécurité adaptatif dédié de la gamme Cisco 5500, qui exécute les versions 7.x et ultérieures. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Configurez Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section. Diagramme du réseau Ce document utilise la configuration réseau suivante : Remarque: Les schémas d'adressage d'ip utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 < qui ont été utilisées dans un environnement de laboratoire. Configuration de PIX 6.x Remarque: Des commandes Nondefault sont illustrées en gras. PIX Building configuration... : Saved : PIX Version 6.3(3) nameif gb-ethernet0 outside security0 nameif gb-ethernet1 inside security100 nameif ethernet0 intf2 security10 nameif ethernet1 intf3 security15 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall --- Create an access list to allow pings out --- and return packets back in. access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any time-exceeded access-list 100 permit icmp any any unreachable

3 --- Allows anyone on the Internet to connect to --- the web, mail, and FTP servers. access-list 100 permit tcp any host eq www access-list 100 permit tcp any host eq smtp access-list 100 permit tcp any host eq ftp pager lines Enable logging. logging on no logging timestamp no logging standby no logging console no logging monitor --- Enable error and more severe syslog messages --- to be saved to the local buffer. logging buffered errors --- Send notification and more severe syslog messages --- to the syslog server. logging trap notifications no logging history logging facility 20 logging queue Send syslog messages to a syslog server --- on the inside interface. logging host inside All interfaces are shutdown by default. interface gb-ethernet0 1000auto interface gb-ethernet1 1000auto interface ethernet0 auto shutdown interface ethernet1 auto shutdown mtu outside 1500 mtu inside 1500 mtu intf mtu intf ip address outside ip address inside ip address intf ip address intf ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 failover ip address outside failover ip address inside failover ip address intf failover ip address intf arp timeout Define a Network Address Translation (NAT) pool that --- internal hosts use when going out to the Internet. global (outside) Define a Port Address Translation (PAT) address that --- is used once the NAT pool is exhausted. global (outside) Allow all internal hosts to use --- the NAT or PAT addresses specified previously. nat (inside)

4 --- Define a static translation for the internal --- web server to be accessible from the Internet. static (inside,outside) netmask Define a static translation for the internal --- mail server to be accessible from the Internet. static (inside,outside) netmask Define a static translation for the internal --- FTP server to be accessible from the Internet. static (inside,outside) netmask Apply access list 100 to the outside interface. access-group 100 in interface outside --- Define a default route to the ISP router. route outside Allow the host to be able to --- Telnet to the inside of the PIX. telnet inside : end [OK] Configurer PIX/ASA Versions 7.x et ultérieures Remarque: Des commandes Nondefault sont illustrées en gras. PIX/ASA pixfirewall# sh run : Saved : PIX Version 8.0(2) hostname pixfirewall enable password 2KFQnbNIdI.2KYOU encrypted names interface Ethernet0 nameif outside security-level 0 ip address interface Ethernet1 nameif inside security-level 100 ip address Create an access list to allow pings out --- and return packets back in.

5 access-list 100 extended permit icmp any any echo-reply access-list 100 extended permit icmp any any time-exceeded access-list 100 extended permit icmp any any unreachable --- Allows anyone on the Internet to connect to --- the web, mail, and FTP servers. access-list 100 extended permit tcp any host eq www access-list 100 extended permit tcp any host eq smtp access-list 100 extended permit tcp any host eq ftp pager lines Enable logging. logging enable --- Enable error and more severe syslog messages --- to be saved to the local buffer. logging buffered errors --- Send notification and more severe syslog messages --- to the syslog server. logging trap notifications --- Send syslog messages to a syslog server --- on the inside interface. logging host inside mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout Define a Network Address Translation (NAT) pool that --- internal hosts use when going out to the Internet. global (outside) Define a Port Address Translation (PAT) address that --- is used once the NAT pool is exhausted. global (outside) Allow all internal hosts to use --- the NAT or PAT addresses specified previously. nat (inside) Define a static translation for the internal --- web server to be accessible from the Internet.

6 static (inside,outside) netmask Define a static translation for the internal --- mail server to be accessible from the Internet. static (inside,outside) netmask Define a static translation for the internal --- FTP server to be accessible from the Internet. static (inside,outside) netmask Apply access list 100 to the outside interface. access-group 100 in interface outside Define a default route to the ISP router. route outside Allow the host to be able to --- Telnet to the inside of the PIX. telnet inside telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list : end REMARQUE: Pour plus d'informations sur la configuration de NAT et de PAT sur PIX/ASA, consultez Instructions NAT et PAT sur PIX/ASA 7.x. Pour plus d'informations sur la configuration des listes d'accès sur PIX/ASA, consultez PIX/ASA 7.x : Redirection (transfert) de port avec les commandes nat, global, static et access-list. Vérifiez Aucune procédure de vérification n'est disponible pour cette configuration. Dépannez Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'oit pour afficher une analyse de la sortie de la commande show. show interface - Affiche les statistiques d'interface. show traffic - Affiche la quantité de trafic qui passe par le PIX. show xlate - Affiche les traductions actuelles établies via le PIX. show conn - Affiche les connexions actuelles via le PIX. REMARQUE: Pour plus d'informations sur la façon de dépanner PIX/ASA, consultez Dépanner les connexions via le PIX et l'asa.

7 Dépannage des commandes Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage. debug icmp trace Affiche toutes les requêtes d'écho d'internet Control Message Protocol (ICMP) envoyées à ou via le PIX. Dépanner des problèmes courants Si vous obtenez le résultat de commande write terminal à partir de votre périphérique Cisco, vous pouvez utiliser l'outil Interpréteur de sortie (clients enregistrés uniquement) pour afficher les problèmes potentiels ainsi que les correctifs. Le pool NAT (et l'adresse PAT - à l'exception de l'interface PAT) doit utiliser les adresses IP qui ne sont utilisées par aucun autre périphérique sur le réseau. Ceci inclut les adresses statiques (pour des traductions) ou les adresses utilisées sur les interfaces. Si vous possédez le logiciel PIX versions 5.2 ou ultérieures, l'adresse d'interface externe du PIX peut être utilisée pour PAT. C'est utile si une seule adresse externe est disponible ou si vous devez économiser votre espace d'adresse IP. Pour activer PAT sur l'adresse d'interface externe, supprimez l'adresse pool NAT et l'adresse PAT globales de la configuration et utilisez l'adresse IP d'interface externe comme adresse PAT. ip address outside nat (inside) global (outside) 1 interface Remarque: Quelques applications multimédias peuvent être en conflit avec des mappages de port fournis par PAT. PAT ne fonctionne pas avec la commande établie. PAT fonctionne avec Domain Name System (DNS), FTP et FTP passif, HTTP, la messagerie électronique, remote-procedure call (RPC), rshell, Telnet, le filtrage d'url et le traceroute de sortie. Plusieurs versions de PIX prennent en charge H.323 avec PAT sur plusieurs versions. H.323v2 avec la prise en charge PAT a été ajouté dans la version 6.2.2, alors que H.323v3 et v4 avec la prise en charge PAT étaient ajoutés dans la version 6.3. Vous devez avoir une liste d'accès (ou un conduit) pour autoriser l'accès à vos serveurs. L'accès entrant n'est pas autorisé par défaut. Remarque: La commande conduit a été remplacée par la commande access-list. Cisco vous recommande de migrer votre configuration avec la commande conduit pour conserver la future compatibilité. Après toute liste d'accès, il y a une commande deny ip any any implicite. Si le serveur DNS est à l'extérieur du PIX et que les utilisateurs internes veulent accéder aux serveurs internes avec leur nom DNS, alors la commande alias doit être utilisée pour soigner la réponse DNS du serveur DNS. Si vous avez toujours des problèmes après avoir passé en revue ces problèmes courants, complétez ces étapes : Vérifiez que vous disposez de la connectivité IP entre les deux périphériques. Pour cela, connectez la console dans le PIX, ou Telnet dans le PIX. Émettez les commandes terminal monitor et debug icmp trace commands. Si les utilisateurs internes ont des difficultés pour accéder à Internet, envoyez une commande ping au serveur auquel vous essayez d'accéder et voyez si vous obtenez une réponse. Si vous ne recevez pas de réponse, consultez les instructions de débogage et assurezvous de voir la demande d'écho ICMP sortir via le PIX. Si vous ne voyez pas les demandes d'écho, vérifiez alors la passerelle par défaut de la machine source. Typiquement, c'est le PIX. En outre, utilisez nslookup sur le client et assurez-vous qu'il peut résoudre l'adresse IP du serveur que vous essayez d'atteindre. Quand vous avez la connectivité IP, désactivez debug icmp trace et activez logging console debug (si connecté à la console) ou logging monitor debug (si connecté au PIX par l'intermédiaire de Telnet). Les messages syslog s'affichent alors sur votre écran. Essayez de vous connecter au serveur et observez les syslog pour voir si un trafic quelconque est refusé. Le cas échéant, les syslog devraient vous donner une bonne idée de la cause du refus. Vous pouvez également consulter la description des messages syslog. Si les utilisateurs externes ne peuvent pas accéder à vos serveurs internes : a. Vérifiez la syntaxe de votre commande static. b. Revérifiez que vous avez autorisé l'accès avec vos instructions de commande access-list. c. Revérifiez que vous avez appliqué la liste d'accès avec la commande access-group. Si vous êtes un utilisateur enregistré et que vous êtes connecté, vous pouvez dépanner vos problèmes PIX avec l'outil TAC Case Collection (clients enregistrés uniquement). Informations à collecter si vous ouvrez une demande de service TAC Si vous avez encore besoin d'aide après avoir suivi les étapes de dépannage cidessus et que vous voulez ouvrir une demande de service avec le TAC Cisco, n'oubliez pas d'inclure les informations suivantes pour le dépannage de votre pare-feu PIX. Description du problème et des détails topologiques pertinents Dépannage exécuté avant d'ouvrir la demande de service

8 Sortie de la commande show tech-support Sortie de la commande show log après l'exécution avec la commande logging buffered debugging, ou les captures de console qui expliquent le problème (si disponible) Veuillez joindre les données rassemblées à votre demande de service en format non compressé et texte clair (.txt). Vous pouvez joindre des informations à votre demande de service en la téléchargeant à l'aide de l'outil de requête de demande de service (clients enregistrés uniquement). Si vous ne pouvez pas accéder à l'outil de requête de demande de service, vous pouvez envoyer l'information en pièce jointe dans un e- mail à avec votre numéro de demande de service dans le sujet du message. Informations connexes Demandes de commentaires (RFC) Exemples et notes techniques de configuration Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 18 octobre