ASA 8.3 et plus tard : Exemple de configuration de l'accès au serveur de messagerie (SMTP) sur la zone DMZ

Documents pareils
ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Les réseaux /24 et x0.0/29 sont considérés comme publics

Exemple de configuration d'asa avec WebVPN et authentification unique à l'aide d'asdm et de NTLMv1

QoS sur les exemples de configuration de Cisco ASA

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Conception et mise en place d'une architecture de sécurité des services Intranet / Internet. Equipe Firewalling

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Mise en service d un routeur cisco

comment paramétrer une connexion ADSL sur un modemrouteur

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

MAUREY SIMON PICARD FABIEN LP SARI

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Introduction. Adresses

TP réseaux Translation d adresse, firewalls, zonage

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Administration UNIX. Le réseau

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Figure 1a. Réseau intranet avec pare feu et NAT.

Configuration du matériel Cisco. Florian Duraffourg

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Présentation et portée du cours : CCNA Exploration v4.0

Devoir Surveillé de Sécurité des Réseaux

Présentation et portée du cours : CCNA Exploration v4.0

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Commutateur 48 ports Gigabit Cisco SGE2010 Commutateurs de gestion Cisco Small Business

Présentation du modèle OSI(Open Systems Interconnection)

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Services Réseaux - Couche Application. TODARO Cédric

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Couche application. La couche application est la plus élevée du modèle de référence.

Exercice : configuration de base de DHCP et NAT

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Pare-feu VPN sans fil N Cisco RV120W

TCP/IP, NAT/PAT et Firewall

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014


Guide de compatibilité des routeurs avec le service Flexfone

Documentation : Réseau

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Rappels réseaux TCP/IP

Les systèmes pare-feu (firewall)

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Téléphone IP SPA942 à quatre lignes avec commutateur deux ports de Cisco. Téléphones IP de Cisco pour petites entreprises

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

Téléphone IP. Téléphone IP aux nombreuses fonctions avancées pour une utilisation professionnelle et au prix abordable FICHE PRODUIT

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Cisco RV220W Network Security Firewall

Installation d un serveur virtuel : DSL_G624M

Couche Transport TCP et UDP

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

Travaux pratiques : collecte et analyse de données NetFlow

Cisco RV220W Network Security Firewall

COMMANDES RÉSEAUX TCP/IP WINDOWS.

Configuration des VLAN

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Internet Protocol. «La couche IP du réseau Internet»

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Configuration et listes d accès pour un routeur CISCO. commandes et exemples

Commutateur sûr, efficace et intelligent pour petites entreprises

7.3 : Ce qu IPv6 peut faire pour moi

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

LAB : Schéma. Compagnie C / /24 NETASQ

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Réseaux IUP2 / 2005 IPv6

Cisco Certified Network Associate Version 4

Table des matières Nouveau Plan d adressage... 3

Configuration automatique

Travaux pratiques IPv6

Introduction aux Technologies de l Internet

Développement Web. Les protocoles

Chap.9: SNMP: Simple Network Management Protocol

StoneGate Firewall/VPN

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

Routeur VPN Wireless-N Cisco RV215W

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Modem routeur vocal. Solution intelligente de modem routeur pour le routage d appels pour VoIP FICHE PRODUIT

Administration du WG302 en SSH par Magicsam

PACK SKeeper Multi = 1 SKeeper et des SKubes

Mise en place d un cluster NLB (v1.12)

Cisco CCVP. Configuration initiale

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Formation Iptables : Correction TP

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Transcription:

ASA 8.3 et plus tard : Exemple de configuration de l'accès au serveur de messagerie (SMTP) sur la zone DMZ Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configurez Diagramme du réseau Configuration de TLS ESMTP Vérifiez Dépannez Dépannage des commandes Informations connexes Introduction Cette configuration d'échantillon explique comment installer les dispositifs de sécurité ASA pour l'accès à un serveur de Protocole SMTP (Simple Mail Transfer Protocol) situé sur le réseau de la zone démilitarisée (DMZ). Référez-vous à ASA 8.3 et plus tard : De messagerie (SMTP) de serveur d'access exemple de configuration réseau d'intérieur en fonction pour plus d'informations sur la façon installer les dispositifs de sécurité ASA pour l'accès à un serveur mail/smtp situé sur le réseau intérieur. Référez-vous à ASA 8.3 et plus tard : Serveur Access de messagerie (SMTP) sur l'exemple extérieur de configuration réseau pour plus d'informations sur la façon installer les dispositifs de sécurité ASA pour l'accès à un serveur mail/smtp situé sur le réseau extérieur. Référez-vous à PIX/ASA 7.x et en haut : Accès de serveur de messagerie (SMTP) sur l'exemple de configuration DMZ pour la configuration identique sur l'appliance de sécurité adaptable Cisco (ASA) avec des versions 8.2 et antérieures. Conditions préalables Conditions requises Aucune spécification déterminée n'est requise pour ce document. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : L'appliance de sécurité adaptable Cisco (ASA) cette exécute la version 8.3 et ultérieures. Routeur de Cisco 1841 avec la version de logiciel 12.4(20)T de ½ du  du Cisco IOS à  Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section. Diagramme du réseau Ce document utilise la configuration réseau suivante : Remarque: Les schémas d'adressage d'ip utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire. La configuration réseau utilisée dans cet exemple a l'asa avec le réseau intérieur (10.1.1.0/24) et le réseau extérieur (192.168.200.0/27). Le serveur de messagerie avec l'adresse IP 172.16.31.10 se trouve dans le réseau de la zone démilitarisée (DMZ). Pour que le mail server soit accédé à par l'intérieur, les utilisateurs configurent l'identité NAT. Configurez une liste d'accès, qui est dmz_int dans cet exemple, afin de permettre les connexions sortantes de SMTP du mail server aux hôtes dans le réseau intérieur et les lier à l'interface DMZ. De même pour que les utilisateurs externes accèdent au mail server configurez un NAT statique et également une liste d'accès, qui est outside_int dans cet exemple, afin de permettre à des utilisateurs externes pour accéder au mail server et lier cette liste d'accès à l'interface extérieure. Ce document utilise la configuration suivante : ASA#show run : Saved : ASA Version 8.3(1) hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names interface Ethernet0 shutdown security-level 0 interface Ethernet1 shutdown

no security-level interface Ethernet2 no security-level --- Configure the inside interface. interface Ethernet3 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 --- Configure the outside interface. interface Ethernet4 nameif outside security-level 0 ip address 192.168.200.225 255.255.255.224 --- Configure dmz interface. interface Ethernet5 nameif dmz security-level 10 ip address 172.16.31.1 255.255.255.0 passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa831-k8.bin ftp mode passive --- This access list allows hosts to access --- IP address 192.168.200.227 for the SMTP port. access-list outside_int extended permit tcp any host 192.168.200.227 eq smtp --- Allows outgoing SMTP connections. --- This access list allows host IP 172.16.31.10 --- sourcing the SMTP port to access any host. access-list dmz_int extended permit tcp host 172.16.31.10 eq smtp any pager lines 24 mtu BB 1500 mtu inside 1500 mtu outside 1500 mtu dmz 1500 no failover no asdm history enable arp timeout 14400 object network obj-192.168.200.228-192.168.200.253 range 192.168.200.228-192.168.200.253 object network obj-192.168.200.254 host 192.168.200.254 object-group network nat-pat-group network-object object obj-192.168.200.228-192.168.200.253 network-object object obj-192.168.200.254 object network obj-10.1.1.0 subnet 10.1.1.0 255.255.255.0 nat (inside,outside) dynamic nat-pat-group --- This network static does not use address translation. --- Inside hosts appear on the DMZ with their own addresses. object network obj-10.1.1.0 subnet 10.1.1.0 255.255.255.0 nat (inside,dmz) static obj-10.1.1.0

--- This network static uses address translation. --- Hosts that access the mail server from the outside --- use the 192.168.200.227 address. object network obj-172.16.31.10 host 172.16.31.10 nat (dmz,outside) static 192.168.200.227 access-group outside_int in interface outside access-group dmz_int in interface dmz route outside 0.0.0.0 0.0.0.0 192.168.200.226 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact telnet timeout 5 ssh timeout 5 console timeout 0 class-map inspection_default match default-inspection-traffic --- The inspect esmtp command (included in the map) allows --- SMTP/ESMTP to inspect the application. policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp --- The inspect esmtp command (included in the map) allows --- SMTP/ESMTP to inspect the application. service-policy global_policy global Cryptochecksum:2653ce2c9446fb244b410c2161a63eda : end [OK] Configuration de TLS ESMTP Remarque: Si vous utilisez le cryptage de Transport Layer Security (TLS) pour la transmission de courrier électronique puis la caractéristique d'inspection ESMTP (activée par défaut) dans l'asa relâche les paquets. Afin de permettre les courriers électroniques avec le TLS activé, désactivez la configuration d'inspection ESMTP comme cette sortie affiche. Référez-vous au pour en savoir plus de l'id de bogue Cisco CSCtn08326 (clients enregistrés seulement). ciscoasa(config)# policy-map global_policy ciscoasa(config-pmap)#class inspection_default ciscoasa(config-pmap-c)#no inspect esmtp ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit Vérifiez Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Dépannage des commandes L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'oit pour afficher une analyse de la sortie de la commande show. mettez au point le suivi d'icmp Affiche si les demandes de Protocole ICMP (Internet Control Message Protocol) des hôtes atteignent l'asa. Vous devez ajouter la commande access-list afin de permettre à l'icmp dans votre configuration afin d'exécuter ceci mettez au point. Remarque: Afin d'utiliser ceci mettez- au point, veillez-vous pour permettre l'icmp dans l' outside_int de liste d'accès comme cette sortie affiche : access-list outside_int extended permit tcp any host 192.168.200.227 eq smtp access-list outside_int extended permit icmp any any logging buffered 7 Utilisé en mode de configuration globale pour permettre à l'appliance de sécurité adaptable d'envoyer des messages de Syslog à la mémoire tampon de log. Le contenu de la mémoire tampon de log ASA peut être vu avec la commande de show logging. Référez-vous configurent le Syslog utilisant l'asdm pour plus d'informations sur la façon installer se connecter. Informations connexes Demandes de commentaires (RFC) Exemples et notes techniques de configuration 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 18 octobre 2016 http://www.cisco.com/cisco/web/support/ca/fr/110/1109/1109102_asa-8_3-mailserver-config.html

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back