Vous êtes sur la page 1sur 58

CISCO ASA 5506 Quick Start Guide

Version 20160319a

Auteur : Patrick Cardot


1
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Contents
OBJECTIF DU DOCUMENT .............................................................................................................. 3
CONNEXION AU RESEAU ET PARAMETRAGE INITIAL .......................................................... 4
Pour Paramtrer lASA . ............................................................................................. 6
MODIFICATION DE LA CONFIGURATION DE SORTIE DE CARTON ................................... 8
Que faire si les onglets ASA FIREPOWER napparaissent pas ? ............................ 21
SCENARII DE DEPLOIEMENTS.................................................................................................... 23
Scnario 1 : Un seul VLAN priv pour ladministration et la production ( INSIDE ) , une
seule interface WAN ................................................................................................. 23
ACTIVATION DES SERVICES FIREPOWER ....................................................... 25
INSTALLATION DES LICENCES FIREPOWER ................................................... 27
CONTROLE DE LA SYNCHRONISATION DES HORLOGES .............................. 33
CONTROLE DE LA MISE A JOUR DES BASES DE VULNERABILITE ............... 34
CONTROLE DE LA MISE A JOUR DES Security Intelligence Feeds ............. 36
CONTROLE DE LA MISE A JOUR DES DNS et URL Feeds ......................... 37
Scnario 2 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN de
production interne ( INSIDE ) , une interface WAN .................................................. 37
Les tapes de mise en uvre. .............................................................................. 38
Scnario 3 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN de
production interne ( INSIDE ), Un VLAN DMZ, deux interfaces WAN et la fonction
double WAN Policy Based Routing active .............................................................. 42
Les tapes de mise en uvre. .............................................................................. 43
Ajoutons les paramtres du scnario 2 ................................................................. 44
Ajoutons l'accs un Serveur DMZ ...................................................................... 44
Ajoutons le support du double Wan...................................................................... 45
Scnario 4 : Configuration IDS pur pour un audit de scurit rseau. ...................... 47
Les tapes de mise en uvre. .............................................................................. 48
Combien dinterface est-il pertinent de mettre en coute ? ................................... 50
Configuration ASA 5506 IDS prte lemploi ........................................................ 50
CONCLUSION DE CE "Quick Start Guide" ................................................................................ 57

2
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

OBJECTIF DU DOCUMENT
Ce document a pour objectif d'aider la mise en service rapide d'un ASA 5506, avec
ses services de protection Next Gen IPS ASA Firepower activs. Il dcrit l'ensemble
des tapes d'initialisation drouler pour permettre la mise en production du botier.
Un avantage du botier est de pouvoir tre mis en uvre sous plusieurs modes de
dploiements. Ce qui le rend trs adaptable tout contexte de sites ou dutilisations.
Il nest pas seulement conu pour de petits sites distants. Tout comme les autres
modles de la gamme ASA. il pourrai tout fait tre utilis sur site de concentration,
au sein dun rseau de campus, ou dans larchitecture dun Datacenter.
Les modes dploiement les plus habituels pour ce botier sont :

Protection de laccs INTERNET dun petit site on dun site distant


Gestion de laccs INTERNET dun site, avec redondance de liens WANs, gestion
de laccs une DMZ prive, Mise disposition dun portail daccs distant VPN
SSL
Mode analyse de scurit . Qui correspond la mise en place dune solution
dobservation ( ou de surveillance ) de ltat de scurit dun systme dinformation.

Dans ce document nous vous proposons de dtailler le paramtrage initial raliser


dans un ASA 5506 pour chacun de ces modes de dploiements.
Quel que soit le mode de dploiement, les tapes de mise en uvre sont toujours les
mmes et sont toujours les suivantes :

Etape 1 - Connexion au rseau et Paramtrage initial


Etape 2 - Tests daccs administrateurs et test daccs INTERNET
o Test accs SSH
o Test accs ASDM
o Test de navigation INTERNET
Etape 3 - Initialisation des services NGIPS Firepower
Etape 4 Activation des licences Firepower Services
o Vrification de ltat des licences
Etape 5 Mise jour des bases de vulnrabilit
o Vrification de ltat des mises jour de signatures
Etape 6 Paramtrage dune politique de scurit basique ( non couvert dans ce
document )
o Tests de bon fonctionnement de la politique
Test de filtrage URL
Test de filtrage de fichiers
Test blocage dune attaque rseau
Etape 7 gnration dun rapport ( non couvert dans ce document )

3
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

CONNEXION AU RESEAU ET PARAMETRAGE INITIAL


Le dmarrage de lASA 5506 ncessite une connexion INTERNET fonctionnelle, qui
permet lactivation des licences Firepower, et le tlchargement initial des mises jour
des bases de vulnrabilit. Cette mise jour est obligatoire dans la mesure ou aucune
base de signature nest installe pralablement.
Une fois ces bases de signatures mises jour, le botier peut tre install ( dans des
phases de tests ) sans ncessiter obligatoirement une connexion INTERNET.
La mise en situation propose dans ce paragraphe consiste effectuer les
raccordements rseaux minimum ncessaires la mise en service de lASA 5506. Un
paramtrage initial de sortie de carton nous permettra une prise en, main rapide
du boitier. Pour des raisons qui seront expliques plus loin, nous modifierons la
configuration par dfaut du boitier.
La topologie rseau que nous allons cbler pour dmarrer lASA 5506 est la suivante :

Comme le montre le schma ci-dessus

Vous connecterez votre ASA 5506 au rseau INTERNET en utilisant le port


Ethernet Gigabitethernet 1/1 ( port outsite ). Il peut tre raccord directement la
connexion INTERNET, ou il peut y tre raccord travers un quipement daccs
tel quune BOX INTERNET.
Vous connecterez le port Gigabitethernet 1 / 2 ( port inside ) ainsi que le port
Management 1/1 de lASA 5506 sur un switch Ethernet. Remarque : Il est
obligatoire que le port de management soit connect au mme LAN que le port
inside.
Sur ce mme switch sera galement connect un ordinateur qui servira au
paramtrage du botier ainsi quaux diffrents tests de connectivit.

4
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

NOTE :
Le paramtrage que vous allez raliser consiste configurer le port INTERNET de
lASA 5506 ( outside ) de manire ce quil puisse sauto-configurer en paramtrage
IP DHCP. Ceci permettra lASA 5506 de rcuprer sur son interface outside une
adresse IP, mais galement le paramtrage DNS fourni par le fournisseur daccs
INTERNET. Un paramtrage Port Address Translation est appliqu sur ce port ce qui
permet le masquage des adresses IP prives.
Du ct du rseau priv, lASA fournira aux ordinateurs connects au switch une
adresse IP dans le sous rseau IP 192.168.100.0 / 24 ainsi que le paramtrage IP
ncessaire laccs INTERNET.
Dautre part, les accs administrateurs lASA 5506 seront activs en HTTPS ainsi
quen SSH, que ce soit pour le firewall, ou pour les services NGIPS Firepower.
Une fois termin, ce paramtrage doit vous permettre :

De vous connecter INTERNET en traversant lASA 5506


De vous connecter lASA en tant quadministrateur via le protocole SSH avec un
mulateur de terminal, ou via le protocole HTTPS via un navigateur INTERNET.
Davoir accs aux services NGIPS Firepower de lASA5506.

Les administrateurs habitus au paramtrage dun ASA, remarqueront le fait que


nous remplaons compltement la configuration par dfaut de lquipement, par une
nouvelle configuration avec laquelle le port de Management de lASA ne dispose pas
dadresse IP.
De quoi avez-vous besoins ?

Dun Switch
5
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Dun ordinateur quip dun navigateur INTERNET, et dun mulateur de Terminal


VT 100 ( PUTTY par exemple )

Du cble bleu Cisco port srie RS 232

Dun adaptateur USB RS232 pour votre laptop

Pour Paramtrer lASA .


Comme tout quipement rseau Cisco, le paramtrage dun ASA5506 est possible en
utilisant un port console RS-232. Vous utiliserez ce port console pour le paramtrage
initial du botier.
Une fois fait, la connexion console ne sera plus ncessaire et pourra tre laisse de
ct.
Raccordez le cble console bleu Cisco votre adaptateur USB RS-232 et Connectez
le port Console lASA 5506. Lancez votre mulateur de terminal et entrez en
paramtrage console.

Le paramtrage du port srie effectuer pour permettre un dialogue RS-232 avec un


quipement Cisco est ( vitesse = 9600 bauds, 8 bits, Parit = Non , 1 bit de stop (
9600, 8N1 ).
Une fois connect lASA , Taper une fois sur la touche [ Enter ] pour obtenir le
prompt :

ciscoasa>
Puis taper la commande enable
6
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

ciscoasa>enable

Le prompt Password apparat

Password :
Aucun mot de passe nest ncessaire. Appuyez de nouveau sur la touche [ Enter ]
Et le prompt du mode "enable" apparat

ciscoasa#
A partir de l , vous tes logu en tant quadministrateur sur lASA, vous pourrez
ensuite passer en mode configure terminal pour taper une par une lensemble des
commandes qui permettent de basculer le botier dans une des quatre configurations
initiales parmi celles qui sont proposes plus loin dans ce document.
Restez connect ainsi, vous aurez besoin de la console RS-232 un peu plus tard.
Remarque : LASA arrive avec une configuration par dfaut, une configuration de
sortie de carton qui permet au minimum sa prise en main en HTTPS avec loutil
dadministration graphique ASDM.
Cette configuration par dfaut vous servira de point de dpart et nous permettra de
basculer dans un deuxime temps sur un des 4 scenarii de dpart.
Ensuite, une fois en place dans son environnement rseau, avec sa configuration de
dpart, lASA pourra tre paramtr distance travers le rseau. Son paramtrage
final pourra ainsi tre finalis distance.
Voici les scnarii de dpart proposs .
1. Scnario 1 : Un seul VLAN interne pour la fois ladministration et la production.

Une seule interface Wan


2. Scnario 2 : Un VLAN ddi ladministration ( Management ), Un VLAN de

production interne ( INSIDE ) , une interface WAN


3. Scnario 3 : Un VLAN ddi ladministration ( Management ), Un VLAN de

production interne ( INSIDE ) Un VLAN DMZ, deux interfaces WAN et la


fonction double WAN Policy Based Routing active
4. Scnario 4 : Configuration IDS pur pour une analyse de scurit rseau.
Remarque : Beaucoup dautres scnarii sont possibles. Mais les quatre scnarii
proposs couvrent un trs grand nombre dapplications courantes de lASA 5506.
7
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Nous allons maintenant dtailler chacun de ces scenarii.

MODIFICATION DE LA CONFIGURATION DE SORTIE DE CARTON

Le schma ci-dessus reprsente la topologie rseau dans laquelle un ASA 5506 serait
prt tre dploy ds sa sortie de carton. Ce paramtrage nest pas tout fait adapt
une mise en production relle.
En effet la quasi-totalit des paramtres rseau doivent tre modifis pour permettre
une intgration de lASA5506 dans son environnement de production. Toutefois, cette
configuration par dfaut aide au dmarrage initial du boitier.
En sortie de carton, seul le port Gigabitethernet 1 / 2 est paramtr. Son adresse IP
est ladresse 192.168.1.1/24 et un serveur DHCP est activ sur cette interface. Toutes
les autres interfaces sont administrativement inactives et aucun paramtrage IP nest
effectu dessus.
En ce qui concerne les Services Firepower, ceux-ci sont pr chargs mais pas
installs. Une des premires oprations raliser est donc de terminer leur
installation.

8
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Cest donc assez logiquement que lon peut connecter son PC administration avec un
cble Ethernet sur le port Gigabitethernet 1 / 2. Et plutt que de connecter le PC
directement sur le port Gigabitethernet 1 / 2 avec un cble Ethernet, on va connecter
le port de lASA ainsi que le PC sur un Switch. Nous allons connecter galement le
port Management 1/1 ce switch comme le montre limage ci-dessous.

Une fois le PC dadministration connect, vrifiez quune adresse IP lui a bien t


alloue ( ex : 192.168.1.2 ).
A ce stade, laccs administrateur lASA5506 peut se faire via ladministration ASDM
( Adaptative Security Device Manager ). Et ce sans nom dutilisateur ni mot de passe.
9
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Laccs administrateur se fait en ouvrant son navigateur INTERNET sur lURL


https://192.168.1.1
Remarque, les accs telnet et SSH ne sont pas actifs par dfaut. Aucune session
dadministration SSH nest possible tant que celle-ci na pas t paramtre.
Au prompt dauthentification laissez les champs dditions user et password vides. Et
vous devriez visualiser la progression du dmarrage dASDM.

ACTION

RESULTAT

https://192.168.1.1

Rsultat attendu : Vous devriez voir la page daccueil de lASA qui vous propose de
lancer ou dinstaller ASDM ( Adaptative Security Device Manager ).
Le bouton [ Run ASDM ] doit apparatre et le fait de cliquer dessus doit lancer lapplet
ASDM. ( Rq : Si il napparat pas ceci est probablement d au fait que la machine Java
JRE nest pas installe sur votre ordinateur ). Dans ce cas une invite avec un lien URL
vous propose dinstaller la Machine Java
Remarque : Un blocage de scurit provoqu par votre navigateur peut galement
survenir. Dans un tel cas modifiez les paramtres de scurit de votre navigateur pour
permettre aux contenus Java de sexcuter. Vous aurez ventuellement modifier
galement les paramtres de lapplication Java pour lui permettre de sexcuter.
Action : Lancez ASDM

ACTION

RESULTAT

Cliquer sur le bouton [ RUN ASDM ]

10
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

UserID = aucun
Mot de Passe = aucun

11
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

RESULTAT ATTENDU
Seulement 3 onglets apparaissent en
haut de la page daccueil principale.
Remarque : 2 onglets [ Firepower
Services ] manquent.

Une fois logu, les oprations qui suivent immdiatement sont en principe, la dfinition
des droits dadministration ( ASDM, Telnet, SSH ), linitialisation des services
Firepower mais aussi, la scurisation complte des accs administrateurs, leur
surveillance.
Toutes ces oprations peuvent tre droules partir du setup wizard ASDM de
lASA5506. Ce setup Wizard est accessible dans le menu [ tools ] dASDM.
Nous vous prsentons volontairement le dmarrage initial de votre ASA 5506 en ligne
de commande. Cette mthode a pour avantage de donner un aperu en profondeur
de linstallation dun Cisco ASA et permettra de comprendre par la mme occasion,
une installation complte en partant de rien. Autre avantage, cette mthode permet un
dmarrage trs rapide du boitier.
Nous vous proposons donc de laisser de ct temporairement ladministration
graphique ASDM pour effectuer quelques oprations dinitialisation en ligne de
commande.
Vous tes toujours connect la console RS-232 de lASA.
Une fois logu lASA 5506, nous allons complter son paramtrage par dfaut par
lajout de lauthentification des administrateurs. Nous utiliserons le nom
dadministrateur : admin et le mot de passe : cisco.
Nous allons confirmer lactivation de ladministration ASDM par le port de
Gigabitethernet 1 / 2.
Dmarrez une session console utilisant ces paramtres laide de votre mulateur de
terminal et effectuez le paramtrage suivant :

12
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

ciscoasa>enable
password : { taper ENTER il ny a aucun password }
ciscoasa#

Utilisez ensuite la commande ci-dessous.


ciscoasa#configure terminal
ciscoasa(config)#configure factory-default 192.168.100.1
255.255.255.0
Grce cette commande vous allez re initialiser le paramtrage par dfaut de lASA
5506. Vous allez remplacer ladresse IP de linterface inside ( Gigabitethernet 1/2
192.168.1.1 ) par ladresse IP 192.168.100.1. De plus, les autorisations daccs ASDM
lASA, ainsi que le paramtrage du serveur DHCP seront galement modifis en
consquence.
Remarque : La raison de cette modification est ventuellement viter un conflit
dadresses IP dans le cas o lASA serait raccord une box INTERNET qui fournit
elle aussi une adresse de sous rseau IP interne 192.168.1.0 / 24.
Aprs avoir tap la commande de reconfiguration, et une fois le prompt de lASA de
nouveau disponible, Vous allez maintenant ajouter lauthentification de
ladministrateur, et vous allez activer les accs administrateurs ssh ?

ciscoasa# configure terminal


ciscoasa(config)#

Au prompt configure terminal, tapez lune aprs lautre les commandes suivantes :
Vous pouvez copier/coller toute ces configurations dans la console RS-232.

conf term
!
username admin password cisco privilege 15
crypto key generate rsa modulus 2048
yes
!
domain cisco.com
ssh 192.168.100.0 255.255.255.0 inside
enable password cisco
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
13
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

aaa authentication ssh console LOCAL


dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
dhcpd dns 8.8.8.8
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege cmd level 3 mode exec command packet-tracer
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
14
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

privilege show level 3 mode configure command ip


privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
!
end
Sauvegardez cette configuration

ciscoasa# write memory


Building configuration...
Cryptochecksum: c7ed5ceb 1adaf528 8e928309 24a8f522
6646 bytes copied in 0.190 secs
[OK]
ciscoasa#

A ce stade vous pouvez renouveler ladresse IP du PC dadministration et vous pouvez


tester la connectivit rseau avec lASA en vous loguant de nouveau sur ASDM en
utilisant la nouvelle adresse IP dinterface Management ( https://192.168.100.1 ).

15
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Dans linterface ASDM, vous devriez voir de nouveau 3 onglets au-dessus de la fentre
principale. 3 onglets sur un total attendu de 5. Il manque 2 onglets [ Firepower Service
].
Si seuls 3 onglets apparaissent, comme on le voit sur la copie dcran ci-dessus, ceci
confirme que vous navez pas accs aux services Firepower. En effet les onglets [
Firepower Services ] sont absents de linterface graphique.
A linstallation, Les services doivent tre activs. Voici ci-dessous les oprations
drouler en ligne de commande, pour activer ces services.
Commencez par vrifier ltat du module Firepower ( dsign sfr dans lASA ).
ciscoasa5506# sh module sfr details
Getting details from the Service Module, please wait...
Card Type:
FirePOWER Services Software Module
Model:
ASA5506
Hardware version: N/A
Serial Number:
JAD190500JR
Firmware version: N/A
Software version: 5.4.1-211
MAC Address Range: 5087.89fc.886e to 5087.89fc.886e
App. name:
ASA FirePOWER
App. Status:
Up

16
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

App. Status Desc: Normal Operation


App. version:
5.4.1-211
Data Plane Status: Up
Console session: Ready
Status:
Up
DC addr:
No DC Configured
Mgmt IP addr:
192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway:
0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true

Comme on peut le voir dans le rsultat de la commande show module sfr detail. Le
module est bien prsent, il est en status : UP / Console Session : Ready. On notera
que le module Firepower met plusieurs minutes dmarrer, et finit de booter bien
aprs lOS de lASA. Ceci sera indiqu dans le rsultat de la commande show. Et
aucune connexion console ne sera possible tant que le statut du module nest pas :
UP.
Une fois le module disponible, il est possible de se loguer dessus.
REMARQUE ! : ladresse IP par dfaut du module Firepower est ladresse
192.168.45.45. Cette adresse doit absolument tre modifie sous peine de ne pas
pouvoir accder ladministration du module depuis ASDM. Cest notamment ce que
vous allez faire dans linitialisation du module Firepower. Vous allez affecter au
module Firepower ladresse IP 192.168.100.2.
Vous tes en console sur lASA.

ciscoasa5506# session sfr


Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA5506 v5.4.1 (build 211)
Sourcefire3D login: admin
Password: [ taper le mot de passe par dfaut : Sourcefire ]
Copyright 2004-2015, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Linux OS v5.4.1 (build 12)
Cisco ASA5506 v5.4.1 (build 211)

You must accept the EULA to continue.


Press <ENTER> to display the EULA: [ taper ENTER ]
END USER LICENSE AGREEMENT
IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT
CAREFULLY. IT IS VERY
IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO
SOFTWARE OR EQUIPMENT
FROM AN APPROVED SOURCE AND THAT YOU, OR THE ENTITY YOU

17
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

REPRESENT
(COLLECTIVELY, THE "CUSTOMER") HAVE BEEN REGISTERED AS THE END
USER FOR THE
PURPOSES OF THIS CISCO END USER LICENSE AGREEMENT. IF YOU ARE
NOT REGISTERED
AS THE END USER YOU HAVE NO LICENSE TO USE THE SOFTWARE AND THE
LIMITED
WARRANTY IN THIS END USER LICENSE AGREEMENT DOES NOT APPLY.
ASSUMING YOU HAVE
PURCHASED FROM AN APPROVED SOURCE, DOWNLOADING, INSTALLING OR
USING CISCO OR
CISCO-SUPPLIED SOFTWARE CONSTITUTES ACCEPTANCE OF THIS
AGREEMENT.
CISCO SYSTEMS, INC. OR ITS SUBSIDIARY LICENSING THE SOFTWARE
INSTEAD OF CISCO
SYSTEMS, INC. ("CISCO") IS WILLING TO LICENSE THIS SOFTWARE TO YOU
ONLY UPON
THE CONDITION THAT YOU PURCHASED THE SOFTWARE FROM AN
APPROVED SOURCE AND THAT
YOU ACCEPT ALL OF THE TERMS CONTAINED IN THIS END USER LICENSE
AGREEMENT PLUS
ANY ADDITIONAL LIMITATIONS ON THE LICENSE SET FORTH IN A
SUPPLEMENTAL LICENSE
AGREEMENT ACCOMPANYING THE PRODUCT OR AVAILABLE AT THE TIME OF
YOUR ORDER
(COLLECTIVELY THE "AGREEMENT"). TO THE EXTENT OF ANY CONFLICT
BETWEEN THE
TERMS OF THIS END USER LICENSE AGREEMENT AND ANY SUPPLEMENTAL
LICENSE
AGREEMENT, THE SUPPLEMENTAL LICENSE AGREEMENT SHALL APPLY. BY
DOWNLOADING,
INSTALLING, OR USING THE SOFTWARE, YOU ARE REPRESENTING THAT YOU
PURCHASED THE
SOFTWARE FROM AN APPROVED SOURCE AND BINDING YOURSELF TO THE
AGREEMENT. IF

Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES


System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password: [ Entrer ici votre nouveau mot de passe daccs
Firepower ex : Cisco123 ]
Confirm new password: [ ex : Cisco123 ]
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: Y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:
192.168.100.2 ( par exemple )
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface []:
192.168.100.1 ( adresse IP de linterface de Management de
lASA5506 )
Enter a fully qualified hostname for this system [Sourcefire3D]:
18
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Enter a comma-separated list of DNS servers or 'none' []: none


Enter a comma-separated list of search domains or 'none' [example.net]:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
Applying 'Default Allow All Traffic' access control policy.
A partir de cette tape Attendre quelques minutes ( 5 minutes ) jusquau retour du
prompt ci-dessous.
You can register the sensor to a Defense Center and use the Defense Center
to manage it. Note that registering the sensor to a Defense Center disables
on-sensor FirePOWER Services management capabilities.
When registering the sensor to a Defense Center, a unique alphanumeric
registration key is always required. In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

A ce stade, le module Firepower est install ( sans ses licences ) quelques contrles
peuvent permettre de vrifier son tat. Il est possible par exemple de vrifier le
paramtrage IP des interfaces avec la commande show ifconfig.
> show ifconfig
cplane Link encap:Ethernet HWaddr 00:00:00:02:00:01
inet addr:127.0.2.1 Bcast:127.0.255.255 Mask:255.255.0.0
inet6 addr: fe80::200:ff:fe02:1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5514 errors:0 dropped:0 overruns:0 frame:0
TX packets:1143 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:331077 (323.3 Kb) TX bytes:101824 (99.4 Kb)
eth0

Link encap:Ethernet HWaddr 50:87:89:FC:88:6E


inet addr:192.168.100.2 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::5287:89ff:fefc:886e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:107 errors:0 dropped:0 overruns:0 frame:0


TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:11186 (10.9 Kb) TX bytes:866 (866.0 b)
lo

Link encap:Local Loopback


inet addr:127.0.0.1 Mask:255.255.255.0
inet6 addr: ::1/128 Scope:Host

19
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

UP LOOPBACK RUNNING MTU:16436 Metric:1


RX packets:1261 errors:0 dropped:0 overruns:0 frame:0
TX packets:1261 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5969244 (5.6 Mb) TX bytes:5969244 (5.6 Mb)
>

Pour quitter la console du module Firepower et revenir la console de lASA vous


pouvez taper la commande logout :
> logout
Remote card closed command session. Press any key to continue.
Command session with module sfr terminated.
ciscoasa#

Remarque : pour quitter la session avec le module Firepower, vous pouvez


galement utiliser la squence touche suivante : Ctrl+^ (Ctrl+shift+6) puis la touche 'x'
On peut vrifier ltat du module partir de ladministration console de lASA :
ciscoasa5506# sh module sfr detail
Getting details from the Service Module, please wait...
Card Type:
FirePOWER Services Software Module
Model:
ASA5506
Hardware version: N/A
Serial Number:
JAD190500JR
Firmware version: N/A
Software version: 5.4.1-211
MAC Address Range: 5087.89fc.886e to 5087.89fc.886e
App. name:
ASA FirePOWER
App. Status:
Up
App. Status Desc: Normal Operation
App. version:
5.4.1-211
Data Plane Status: Up
Console session: Ready
Status:
Up
DC addr:
No DC Configured
Mgmt IP addr:
192.168.100.2
Mgmt Network mask: 255.255.255.0
Mgmt Gateway:
192.168.100.1
Mgmt web ports: 443
Mgmt TLS enabled: true

ciscoasa5506#

Dans la pratique, partir de cette tape il sera inutile de revenir au pilotage en ligne
de commande du module Firepower. Toutes les oprations suivantes pourront
entirement tre faites partir de linterface dadministration graphique ASDM.
Ltape suivante est une tape de contrle qui consiste vrifier que le pilotage lASA
est compltement possible partir de ladministration graphique ASDM. Nous avons
20
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

besoin de vrifier que non seulement ladministration ASDM est possible, mais quil
est possible galement de piloter les services Firepower.
Pour cela ouvrez de nouveau votre navigateur sur ladresse : https://192.168.100.1.
Une fois logu, vrifiez que les 3 onglets [ Firepower Services ] apparaissent. Vous
devez avoir un total de 5 onglets de menus.

Que faire si les onglets ASA FIREPOWER napparaissent pas ?


Si les onglets ASA FIREPOWER napparaissent pas, ceci est d un chec de
communication entre lASA et les services NGIPS Firepower. Ceci est d :

Soit au fait que FIREPOWER nest pas initialis. Ceci est le cas au dballage
du carton dans ce cas relancer le setup Wizard ou redmarrez manuellement
FIREPOWER en ligne de commande.
Soit au fait que le module Firepower na pas encore boot . Notamment au
dmarrage de lASA. LOS ASA dmarre beaucoup plus vite que le module
Firepower. Aprs le dmarrage de lASA, il convient dattendre entre 3 et 5
minutes avant de se connecter au module Firepower.
Soit un chec dauthentification. Dans ce cas relancer le setup Wizard ou
redmarrez manuellement FIREPOWER en ligne de commande.
Soit au fait que linterface de Management 1/1 ne soit pas raccorde
physiquement laide dun cble ethernet au mme LAN que le port
Gigabitethernet 1 / 2.
Soit au fait que ladresse IP de FIREPOWER ne soit pas dans le mme sous
rseau IP que ladresse IP qui sert administrer lASA et qui est en loccurrence
ladresse IP affecte linterface Gigabitethernet 1 / 2. Dans ce cas relancez le
setup Wizard ou modifiez manuellement ladresse IP de FIREPOWER
21
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Si la cause dchec de communication est une mauvaise correspondance de ladresse


IP de linterface interne Firepower, vous pouvez rapidement modifier cette adresse IP
en vous loguant de nouveau en administration console lASA et au module
Firepower. Puis ensuite taper la commande suivante :

configure network ipv4 manual <ipaddr> <netmask> <gw>


[interface]

Par exemple :
ciscoasa5506# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA5506 v5.4.1 (build 211)
Sourcefire3D login: admin
Password: [ taper le mot de passe par dfaut : Sourcefire ]
Copyright 2004-2015, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Linux OS v5.4.1 (build 12)
Cisco ASA5506 v5.4.1 (build 211)
>
Configure Network IPv4> configure network ipv4 manual 192.168.100.2 255.255.255.0
192.168.100.1
DNS
Configuration
has
changed
at
/usr/local/sf/lib/perl/5.10.1/SF/NetworkConf/NetworkSettings.pm line 1440.
Setting IPv4 network configuration.
Network settings changed.
Configure Network IPv4>

NEXT STEP
La suite de ce document propose trois scnarii de mise en uvre du botier qui
peuvent servir de points de dpart pour la mise en production relle :

Scnario 1 : Un seul VLAN interne pour ladministration et le rseau de production.


Une seule interface Wan
Scnario 2 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN
de production interne ( INSIDE ) , une interface WAN
Scnario 3 : Un VLAN ddi ladministration ( VLAN_Management ), Un VLAN
de production interne ( INSIDE ) Un VLAN DMZ, deux interfaces WAN et la fonction
double WAN Policy Based Routing active
Scnario 4 : Configuration IDS pur pour un audit de scurit rseau.

22
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

SCENARII DE DEPLOIEMENTS
Scnario 1 : Un seul VLAN priv pour ladministration et la production (
INSIDE ) , une seule interface WAN
Ce premier scnario correspond la mise en place dun service simple de protection
de laccs INTERNET dun petit site. Cest le scnario de mise en production le plus
simple.
Cest le scnario dans lequel vous tes si vous avez droul les tapes du paragraphe
prcdent.
Le schma ci-dessous prsente la topologie de rseau cre par le paramtrage qui
est charg dans le boitier.

Dans ce scnario le rseau interne est compos dun VLAN unique matrialis par un
switch LAN. Ce VLAN joue le rle la fois de VLAN de production interne et de VLAN
de Management.
On notera les adaptations suivantes : Le port de Management 1/1 de lASA ne dispose
pas dadresse IP. Ladministration de lASA se fera via ladresse IP affecte
linterface INSIDE ( 192.168.100.1 / 24 dans lexemple ). On notera galement que
linterface interne du module Firepower a son adresse IP dans le mme sous rseau
IP que linterface INSIDE ( savoir 192.168.100.2 / 24 dans notre exemple ).
Et on notera de plus que cette adresse IP ne peut tre joignable depuis le rseau qu
partir du port Management 1/1 de lASA 5506. Ceci explique pourquoi linterface
Management de lASA 5506 est galement raccorde au switch LAN. Ce
raccordement est obligatoire. Sous peine de ne pas voir les onglets Firepower
Services dans ladministration graphique ASDM.
Pour finir, lASA est raccord INTERNET via un unique port WAN qui est le port
GigabitEthernet 1/1. Ce port ngocie son paramtrage rseau en DHCP.
Le paramtrage de lASA 5506 doit en principe vous permettre :
-

De vous connecter INTERNET en traversant lASA 5506


23

Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

De vous connecter lASA en tant quadministrateur via le protocole SSH avec


un mulateur de terminal, ou via le protocole HTTPS via un navigateur
INTERNET.
Davoir accs aux services NGIPS Firepower de lASA5506.

Si vous avez droul les tapes du chapitre prcdent (Modification de la configuration


de sortie de carton ), vous avez pu vrifier les 2 derniers points.
Vous allez vrifier maintenant que laccs INTERNET est possible travers lASA
depuis le PC dadministration. Et que cet accs est possible galement pour lASA
5506 lui-mme.
Remarque : Le paramtrage ASA pour ce scnario est celui qui est dcrit dans le
chapitre prcdent. Si vous ne lavez pas encore fait, vous devez drouler toutes les
tapes de configuration du chapitre: Modification de la configuration de sortie de
carton.
La connexion INTERNET est obligatoire ce stade de la mise en uvre du boitier.
Elle va permettre lactivation des licences Firepower, ainsi que la mise jour des bases
de donnes de vulnrabilit.
A partir de la console RS 232 lASA effectuez les vrifications qui permettent de
confirmer le bon fonctionnement de laccs INTERNET
ciscoasa# sh int outside
Interface GigabitEthernet1/1 "outside", is up, line protocol is up
Hardware is Accelerator rev01, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
Input flow control is unsupported, output flow control is off
MAC address 84b8.0277.09d0, MTU 1500
IP address 192.168.1.14, subnet mask 255.255.255.0
17 packets input, 2107 bytes, 1 no buffer
Received 9 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
4 packets output, 21448 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (1007/1007)
output queue (blocks free curr/low): hardware (1023/1022)
Traffic Statistics for "outside":
16 packets input, 1747 bytes
4 packets output, 1756 bytes
8 packets dropped
1 minute input rate 0 pkts/sec, 11 bytes/sec
1 minute output rate 0 pkts/sec, 28 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec

ciscoasa# sh route

24
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP


D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
S*
C
L

0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside


192.168.1.0 255.255.255.0 is directly connected, outside
192.168.1.14 255.255.255.255 is directly connected, outside

ciscoasa# ping www.cisco.com


^
ERROR: % Invalid Hostname
ciscoasa#

La rsolution DNS est obligatoire. Si celle-ci de fonctionne pas vrifiez que vous avez
bien dans la configuration de lASA des lignes de commandes similaires celles-cidessous. Remplacez ladresse 8.8.8.8 par ladresse IP de votre serveur DNS.

ciscoasa# conf term


ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)# dns server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 8.8.8.8
ciscoasa(config-dns-server-group)# end
ciscoasa#
ciscoasa# ping www.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.3.208.169, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 80/82/90 ms
ciscoasa#

ACTIVATION DES SERVICES FIREPOWER


Ce chapitre a pour objectif de vous donner quelques instructions qui vous permettrons
d'activer compltement les services Next Gen IPS ASA Firepower. vous allez
notamment activer les licences ASA Firepower.
Il vous propose galement un rapide tour d'horizon de l'interface d'administration qui
permet de vrifier que l'ASA 5506 traite correctement du trafic rseau.
Depuis la page daccueil du Dashboard et dans longlet [Home-> Firewall Dashboard
] activer toutes les statistiques disponibles en cliquant sur tous les boutons [ enable ]
25
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

de tous les onglets de tous les widgets.


Slectionner laffichage de camemberts.
ACTION

RESULTAT

Activer les statistiques du Dashboard

Gnrez de lactivit vers INTERNET travers lASA 5506 afin de dobtenir au bout
de quelques minutes des statistiques dactivits.
ACTION

RESULTAT

Statistiques [ Home>Firewall Dashboard ]

Cliquez sur longlet [ Home>Firepower Dashboard ]


Et vrifiez quelques lments propres Firepower Services.
Cherchez et notez les valeurs des lments suivants :
- La version du Software
- La version de VDB ( Vulnerability Database )
- La version des Rules Updates
- La version de la base de Geolocalisation
- Les tats et les dates dexpiration des licences Protection et Control ( les
services IPS/AVC ), URL Filtering et Malware.

ACTION

RESULTAT

26
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Statistiques [
Dashboard ]

Home

->

Firepower

A ce stade, et suite au dmarrage de lASA 5506, aucune licence nest en principe


installe.
Ceci signifie que mme si le module Firepower est dmarr, les services NGIPS ne
sont pour le moment pas oprants.
Pour les activer vous devez installer les licences.
INSTALLATION DES LICENCES FIREPOWER
Ce paragraphe dcrit la procdure qui permet de gnrer les licences Firepower
installer dans lASA 5506.
LASA 5506 est livr avec une licence Protect & Control . Cette licence fournit les
service Application Visibility & Control ( AVC ) et Next Gen IPS. Les licences Advanced
Malware Protection ( AMP ) et URL filtering doivent tre commandes sparment, en
plus de lASA 5506.
La licence Protect & Control nest pas installe par dfaut. Cest vous de
linstaller. Et pour cela droulez la procdure qui suit.
LASA 5506 est livr avec un document papier qui contient un PAK ( Product Activation
Key ) et lURL Cisco sur laquelle il faudra se connecter pour gnrer la licence.

27
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Comme lindique le document noter la valeur du PAK et laide de votre navigateur


INTERNET, connectez-vous lURL http://www.cisco.com/go/license
ACTION

RESULTAT

Connectez vous
http://www.cisco.com/go/license.
Authentifiez vous et renseignez la
valeur de votre PAK dans le champ
ddition prvu cet effet.

28
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Une fentre apparat et vous


propose de valider le modle dASA
associ au PAK

La page suivante vous demande la


license key de lASA.
Vous trouverez cette license
key sur lASA 5506 grce
ASDM.

Dans ASDM
Cliquer sur le bouton [ ASA
Firepower Services ]

29
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Cliquer sur le lien [ Licences ]

La fentre dajout des licences


apparat
Si cela na pas dj t fait, utilisez
la license key en haut gauche
pour gnrer votre licence sur le
portail PAK.

Copiez/Collez la valeur de la
license key de lASA dans le
champs ddition de la page
denregistrement de la license.

Acceptez les termes dutilisation de


la licence et confirmez vos
informations.

30
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Un cran de confirmation vous


informe que la licence a t
gnre, quelle vous a t
envoye par email. Vous pouvez
galement la tlcharger depuis la
page web.

Vous recevez la licence que vous


avez demand par E Mail. Ouvrez
le fichier licence.

Vous devez reproduire cette procdure pour chacune des licences que vous avez
achet.
Une fois que vous tes en possession des fichiers licences. droulez la procdure
suivante chacune des licences, pour procder leur installation dans lASA.
ACTION

RESULTAT

Cliquer sur longlet [ Configuration ]

31
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Cliquer sur le bouton [ ASA


Firepower Services ]

Cliquer sur le lien [ Licences ]

La fentre dajout des licences


apparat
Si cela na pas dj t fait, utilisez
la license key en haut gauche
pour gnrer votre licence sur le
portail PAK.

Copiez la partie du contenu qui


correspond la cl de licences

32
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Collez ce contenu dans la fentre


dactivation de la licence de
lASA5506
Et cliquez sur le bouton [ Submit
License ]

RESULTAT
La license sactive et elle apparat
ensuite
disponible
dans
le
Dashboard de
Licences

Les 2 oprations drouler ensuite sont dune part la synchronisation des horloges
sur un serveur NTP public et dautre part le dclenchement des mises jour des bases
de vulnrabilit.
CONTROLE DE LA SYNCHRONISATION DES HORLOGES
Une synchronisation correcte des horloges est un pr requis indispensable au bon
fonctionnement de la solution. Drouler les oprations suivantes pour effectuer le
contrle de la bonne synchronisation.
ACTION

RESULTAT

33
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Mise lheure du 5506


Cliquer sur longlet [ Configuration > device Setup -> Clock ]

Mise lheure de Firepower

CONTROLE DE LA MISE A JOUR DES BASES DE VULNERABILITE


Aucune opration de protection nest possible sans la mise jour des bases de donnes
de vulnrabilit.
La mise jour de ces bases donnes se fera automatiquement toute seule une fois
que lASA est correctement raccord INTERNET.
Ceci peut prendre un certain temps. Il est possible de forcer ces mises jour en
droulant les oprations suivantes.

ACTION

RESULTAT

34
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Cliquer sur longlet [ Configuration > ASA Firepower Configuration ]

Cliquer sur le lien, [ Updates ]

Vrifier la version de la base de


vulnrabilit
et
provoquer
ventuellement la mise jour en
cliquant sur le bouton [ Download
Updates ]
Remarque, le tlchargement des
updates prend aux alentours de 5
minutes

35
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Vous devez ensuite installer les


mise jour en cliquant sur licone [
install ]
Une Task Status Notification
apparat. Vous pouvez cliquer
dessus pour contrler en temps rel
lxecution de cette tche.
Linstallation
dure
plusieurs
minutes et le status de la tche
passe completed une fois que
cest termin.

CONTROLE DE LA MISE A JOUR DES Security Intelligence Feeds


Les Security Intelligence feeds sont des listes dadresses IP organises en
catgories, consolides par Cisco, qui contiennent en ensemble dadresses IP connies
pour hberger des systmes dextrmit malveillants.
Ces listes sont tlcharges par les ASA depuis les bases de donnes Cisco toute les
2 heures.
ACTION

RESULTAT

36
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Cliquer sur longlet [ Configuration > ASA Firepower Configuration ]

Cliquer sur le lien, [ Updates ]

CONTROLE DE LA MISE A JOUR DES DNS et URL Feeds


A partir de la version logicielle 6.0 de nouvelles listes de feeds sajoutent la base
de connaissance locale. Se sont les DNS et les URL feeds.
A partir de cette version logicielle, lASA tlcharge des listes de noms de domaine et
des listes dURLs malveillante. Le contrle local ne remplace pas linterogation
dynamique de la base de rputation dURL, Il sajoute lui, et il est plus rapide.
Les listes qui sont charges sont des listes de noms de domaines et dURL
particulirement malveillantes.

Scnario 2 : Un VLAN ddi ladministration ( VLAN_Management ), Un


VLAN de production interne ( INSIDE ) , une interface WAN
Ce second scnario est une adaptation du scnario prcdent. Il correspond un peu
plus la ralit en matire d'architecture et de bonnes pratiques. L'adaptation se
traduit par l'ajout d'une interface interne ( interface INSIDE ) qui est ddie la
production. L'interface de Management 1/1 tant ddie elle l'administration du
37
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

boitier.
Ceci entre dans la logique de sparation du rseau d'administration de l'ASA 5506, du
rseau de production. Cette logique correspond une bonne pratique en matire
scurit, elle s'inscrirait dans une logique globale de sparation du VLAN
d'administration qui sert au pilotage de tous les quipements du rseau, du VLAN de
production interne.
Au niveau de l'ASA 5506, ceci se traduit simplement par la cration d'une Interface
INSIDE sur laquelle sera active le cas chant un serveur DHCP, et qui supportera
toutes les politiques de scurit qui s'appliquent aux flux de donnes applicatives qui
traverseraient lASA.
En ce qui concerne l'interface de VLAN_Management , aucun serveur DHCP ne sera
activ dessus et des rgles de scurit sur le contrle des accs administrateurs lui
seront appliques.
On remarquera toujours la ncessit de raccorder l'interface Management 1/1
physiquement l'aide d'un cble Ethernet.

Les tapes de mise en uvre.


Partant du principe que ladressage IP du module Firepower ne change pas. Il est
possible alors de remplacer la " configuration ASA Firewall de sortie de carton " par la
configuration cible en suivant la procdure suivante :

A laide du cble console bleu Cisco connectez votre terminal VT100 au port RS232 de lASA 5506.

Loguez-vous et obtenez le prompt


38
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

ciscoasa>

Passez en mode enable

ciscoasa>enable
password : [ entrer votre mot de passe ]

Puis passez en mode configure terminal

ciscoasa#configure terminal
ciscoasa(config)#

Commencez par effacer compltement la configuration existante :

ciscoasa(config)#clear configure all

Puis copier/coller une par une toute les lignes de configurations suivantes :
conf term
!
hostname ciscoasa
enable password cisco
!
interface GigabitEthernet1/1
nameif outside
security-level 0
ip address dhcp setroute
no shutdown
!
interface GigabitEthernet1/2
nameif vlan_management
security-level 100
ip address 192.168.100.1 255.255.255.0
no shutdown
!
interface GigabitEthernet1/3
nameif inside
security-level 90
ip address 192.168.200.1 255.255.255.0
no shutdown
39
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

!
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
no shutdown
!
username admin password cisco privilege 15
!
domain cisco.com
!
crypto key generate rsa modulus 2048
yes
!
!
user-identity default-domain LOCAL
http server enable
http 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
no ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.200.10-192.168.200.30 inside
dhcpd enable inside
!
ntp server 108.161.188.192 source outside
!
!
enable password cisco
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
dhcpd dns 8.8.8.8
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
40
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

privilege cmd level 3 mode exec command packet-tracer


privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpnclient
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
41
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

privilege show level 3 mode configure command dhcpd


privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
!
end
Sauvegardez cette configuration

ciscoasa# write memory


Building configuration...
Cryptochecksum: c7ed5ceb 1adaf528 8e928309 24a8f522
6646 bytes copied in 0.190 secs
[OK]
ciscoasa#

A ce stade, lASA 5506 est install.


Si cela nest pas dj fait, vous pouvez passer lactivation des services Firepower et
linstallation des licences.

Scnario 3 : Un VLAN ddi ladministration ( VLAN_Management ), Un


VLAN de production interne ( INSIDE ), Un VLAN DMZ, deux interfaces WAN
et la fonction double WAN Policy Based Routing active
Ce scnario est un scnario un peu plus complexe que les deux scnarios prcdents.
Il a essentiellement pour objectif de dcrire la configuration de diffrentes briques
fonctionnelles qui peuvent avoir tre mises en uvre de faon individuelle.

42
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Dans ce scnario rien ne change par rapport au scnario 2 en ce qui concerne le VLAN
d'administration. En revanche nous ajoutons deux briques supplmentaires et
indpendantes qui sont :

La gestion du double Wan


Une DMZ interne et l'accs depuis l'extrieur des serveurs privs.

Les tapes de mise en uvre.


Partant du principe que ladressage IP du module Firepower ne change pas. Il est
possible alors de remplacer la " configuration ASA Firewall de sortie de carton " par la
configuration dfinitive en suivant la procdure suivante :

A laide du cble console bleu Cisco connectez votre terminal VT100 au port RS232 de lASA 5506.

Loguez-vous et obtenez le prompt

ciscoasa>

Passez en mode enable

ciscoasa>enable
password : [ entrer votre mot de passe ]

Puis passez en mode configure terminal


43
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

ciscoasa#configure terminal
ciscoasa(config)#

Commencez par effacer compltement la configuration existante :

ciscoasa(config)#clear configure all

Ajoutons les paramtres du scnario 2


Pour commencer ajoutez ( si cela n'est pas dj fait ) tous les paramtres du scnario
2.
Ces paramtrages sont le point de dpart l'ajout des complments de configurations
qui suivent.
Ajoutons l'accs un Serveur DMZ

Pour cela, vous allez ajouter une interface DMZ dans l'ASA, sur l'interface
Gigabitethernet 1/4. interface DMZ dont l'adresse IP est 192.168.2.1 / 24.
Nous partons du principe que le serveur DMZ sera dans ce sous rseau IP.
Nous posons pour hypothse que le serveur DMZ ( DMZ-Server ) est un serveur HTTP
qui doit tre accessible depuis INTERNET.
Nous posons galement comme hypothse que l'ASA est raccord une Box
INTERNET qui fournit un sous rseau IP en 192.168.1.0 /24. La plus part du temps
l'adresse IP de la box sera l'adresse 192.168.1.1 /24. Nous dcidons d'allouer
l'adresse IP 192.168.1.50 l'adresse NAT de DMZ_Server sur le rseau outside de
l'ASA.
Ceci implique alors qu'une redirection de port doit tre paramtre dans la box
INTERNET pour rediriger tous les flux HTTP entrants vers l'adresse IP interne
192.168.1.50.

44
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Ceci nous conduit l'ajout dans la configuration de l'ASA 5506 des paramtres cidessous :

conf term
!
Interface GigabitEthernet1/4
nameif DMZ
ip address 192.168.2.1 255.255.255.0
security-level 50
!
object network DMZ_Server
host 192.168.2.100
object network public_ip_for_DMZ_server
host 192.168.1.50
object network DMZ_Server
nat (inside,outside) static public_ip_for_DMZ_server
access-list outside_access line 1 extended permit tcp any4
object DMZ_Server eq http
access-group outside_access in interface outside
!
end
Aprs avoir entr dans lASA 5506 la configuration ci-dessus, l'accs http au serveur
DMZ doit en principe tre possible depuis le rseau extrieur. Ceci peut tre test
laide dun PC positionn du ct public de lASA ( dans le subnet 192.168.1.0 ), et en
ouvrant un navigateur sur ladresse IP 192.168.1.50.
Ajoutons le support du double Wan
L'interface outside primaire ngocie son adresse IP en DHCP. Et nous posons pour
hypothse que son adresse IP est dans le sous rseau IP 172.16.20.0/24 et l'adresse
de default gateway est 172.16.20.254.
La seconde interface Wan est associ l'interface Gigabitethernet 1/4, elle a pour
adresse IP l'adresse 176.16.30.242 /24 et la default gateway a pour adresse l'adresse
172.16.30.1.
A partir de la console RS-232, nous ajouterons la configuration courante les lignes
de commandes suivantes.
!
interface GigabitEthernet1/2
nameif Inside
security-level 90
ip address 192.168.200.1 255.255.255.0
45
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

policy-route route-map equal-access


!
!
interface GigabitEthernet1/4
nameif outside2
security-level 50
ip address 172.16.30.242 255.255.255.0
!
access-list Outside_access_in extended permit icmp any any
access-list PBR extended permit ip host 192.168.2.42 any
access-list PBR2 extended permit ip host 192.168.2.43 any
!
nat (Inside,outside) source dynamic any interface
nat (Inside,outside2) source dynamic any interface
access-group Outside_access_in in interface outside
!
route-map equal-access permit 10
match ip address PBR
set ip next-hop 172.16.30.1
set interface outside2 (pas obligatoire)
!
route-map equal-access permit 20
match ip address PBR2
set ip next-hop 172.16.20.254
set interface outside (pas obligatoire)
!
route-map equal-access permit 30
set interface Null0
!
route outside 0.0.0.0 0.0.0.0 172.16.20.254 1
route outside2 0.0.0.0 0.0.0.0 172.16.30.1 2
!
Vous remarquerez que dans notre exemple deux access-list distinctes identifient les
systmes dextrmit internes 192.168.1.42 et 192.168.2.43. Du coup il est ais de
dduire que le paramtrage effectu ci-dessus a pour effet daiguiller le trafic du poste
192168.2.42 vers linterface outside2 et le trafic du poste 192.168.2.43 vers linterface
outside.

Sauvegardez cette configuration

ciscoasa# write memory


Building configuration...
Cryptochecksum: c7ed5ceb 1adaf528 8e928309 24a8f522
6646 bytes copied in 0.190 secs
[OK]
46
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

ciscoasa#

A ce stade, lASA 5506 est oprationnel.


Si cela nest pas dj fait, vous pouvez passer lactivation des services Firepower et
linstallation des licences.

Scnario 4 : Configuration IDS pur pour un audit de scurit rseau.


Ce scnario est un cas particulier d'application de l'ASA 5506. Dans ce scnario l'ASA
5506 n'est pas utilis pour bloquer du trafic malveillant, il est utilis pour observer le
trafic qui traverse le rseau, dterminer les volumtries de trafics, dterminer si des
attaques ont lieu sur le systme d'information.
Une telle utilisation ( monitor-only mode ) permet au minimum la mise en place d'un
systme d'alerte, et elle permet d'effectuer de manire trs simple, une analyse de
scurit rseau.
Ce mode de dploiement ncessite la redirection de tous les flux observer vers les
interfaces de lASA 5506 utilises pour lobservation. Ceci se fera dans la pratique par
lactivation dun paramtrage de mirroring de port effectu dans les switchs du rseau.
Cette analyse peut se conclure par l'dition d'un rapport de scurit.

Utiliser l'ASA 5506 dans ce mode de fonctionnement ncessite de la basculer en mode


transparent ( pontage transparent ). Puis activer ensuite un mode IDS pur sur chaque
interface physique qui sera utilise en coute.
Tous les modles ASA peuvent tre basculs dans ce mode d'utilisation. Et avec les
mme contraintes. La principale contrainte tant qu'un maximum de 4 interfaces
47
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

physiques peuvent tre utilises en coute.


Remarque : Ce mode d'utilisation prend toute sa dimension lorsque l'on utilise un
serveur externe FireSight Management Center. En effet, la qualit de l'analyse de
scurit va s'appuyer sur la puissance de la corrlation mise en uvre par FireSight
Management Center.
A noter que dans la mesure o lanalyse de scurit se base sur lobservation par
lASA 5506 des seuls flux qui passent devant ses interfaces, la position de ce dernier
dans le rseau est stratgique pour obtenir une bonne qualit dobservation. Le
scnario idal serait que lASA 5506 puisse voir tous les trafics qui traversent le
rseau.
Les tapes de mise en uvre.
Partant du principe que ladressage IP du module Firepower ne change pas. Il est
possible alors de remplacer la " configuration ASA Firewall de sortie de carton " par
la configuration cible en suivant la procdure suivante :

A laide du cble console bleu Cisco connectez votre terminal VT100 au port RS232 de lASA 5506.

Loguez-vous et obtenez le prompt

ciscoasa>

Passez en mode enable

ciscoasa>enable
password : [ entrer votre mot de passe ]

Puis passez en mode configure terminal

ciscoasa#configure terminal
ciscoasa(config)#

Commencez par effacer compltement la configuration existante :

ciscoasa(config)#clear configure all

Puis taper une par une toute les lignes de configurations suivantes :
48
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

ciscoasa(config)#firewall transparent

Ceci a pour effet de faire rebooter l'ASA et efface dans le mme temps toute sa
configuration courante.
Une fois que lASA 5506 a reboot, nous allons commencer par configurer linterface
de Management ( Interface Management 1/1 ) de manire ce quelle ait une adresse
IP et de manire ce quun serveur DHCP puisse fonctionner dessus ( concernant le
serveur DHCP, uniquement si aucun serveur DHCP nexiste dans le VLAN
dadministration ).

Cette configuration est trs similaire celle qui ont t proposes jusque l. On
remarquera simplement l que linterface Management 1/1 a une adresse IP et quelle
est capable de recevoir directement du trafic.
Remarque : Si FireSIGTH Management Center ne se trouve pas sur le mme subnet
IP que linterface dadministration de lASA, il faudra ajouter une route IP dans la
configuration.

ciscoasa#configure terminal
ciscoasa(config)#route management 0.0.0.0 0.0.0.0 [ adresse IP
default gateway ]

Choisissez une ou plusieurs interfaces d'coute du trafic ( interface Gigabitethernet


1/1 par exemple ) et appliquez lui le paramtrage suivante.

ciscoasa(config)#interface Gigabitethernet 1/1


ciscoasa(config)#no nameif
ciscoasa(config)#traffic-forward sfr monitor-only
ciscoasa(config)#no shutdown

Remarque : Il nest pas recommand dutiliser ce paramtrage en production !

Cette configuration particulire n'est pas recommande pour de la production, elle


n'est pas supporte par Cisco dans un tel cas d'utilisation. Elle n'est cense tre
utilise que dans un contexte de dmonstration ou d'analyse temporaire de scurit.

49
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Combien dinterface est-il pertinent de mettre en coute ?


Comme le montre le schma au dbut de ce paragraphe, 2 interfaces sont utilises
pour raliser lobservation.
La proposition du schma nest pas la seule bonne pratique de dploiement
possible. Une analyse de scurit peut tre ralise avec une seule interface
seulement.
La principale contrainte est de positionner linterface un endroit qui permet la
meilleure vision possible des flux qui traversent le rseau. Et lidal serait de
positionner linterface dobservation un point o passe la totalit des flux qui
traversent le rseau.
Dans la pratique on se doute bien que voir tout le trafic dans le rseau est quelque
chose de difficile faire, et le fait de disposer de 4 interfaces dobservation va nous
permettre dtendre la visibilit des flux en positionnant ces 4 interfaces 4 endroits
stratgiques du rseau.
Positionner une interface dobservation juste sur linterface interne du firewall
INTERNET est une trs bonne position dobservation. Et positionner en mme temps
une interface dobservation juste devant ce firewall va nous permettre par exemple de
comparer ce que lon voit devant le firewall avec ce que lon voit en interne du firewall.
On va alors pouvoir juger de lefficacit de ce firewall pour stopper des attaques
entrantes.
Mais une autre position intressante dans le rseau sera par exemple sur linterface
interne dun quipement rseau qui NAT le trafic. Ou encore un port SPAN dun switch
sur lequel est aiguill tout le trafic qui traverse le cur du rseau.
Configurations ASA 5506 IDS prtes lemploi
Afin de gagner du temps, voici 2 propositions de configurations ci-dessous.
Elle peuvent tre copies / colles dans votre ASA, elles vous permettront une mise
en uvre rapide du service IDS.
La premire configuration effectue un paramtrage statique des adresses IP de
linterface de management de lASA, ainsi que de ladresse IP du module firepower.
Cette configuration est bien adapte au cas de figure o le rseau management de la
sonde IDS est compltement isol du rseau de production et le serveur FMC est dans
ce rseau de management.

50
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

conf term
!
Interface Management 1/1
nameif management
management-only
ip address 192.168.100.1 255.255.255.0
no shutdown
interface Gigabitethernet 1/1
no nameif
traffic-forward sfr monitor-only
no shutdown
interface Gigabitethernet 1/2
no nameif
traffic-forward sfr monitor-only
no shutdown
interface BVI1
no ip address
username admin password cisco privilege 15
crypto key generate rsa modulus 2048
yes
!
domain cisco.com
ssh 0.0.0.0 0.0.0.0 management
http 0.0.0.0 0.0.0.0 management
http server enable
enable password cisco
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
51
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

privilege cmd level 3 mode exec command perfmon


privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege cmd level 3 mode exec command packet-tracer
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
52
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

privilege show level 3 mode configure command aaa-server


privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
!
!
session sfr do setup host ip 192.168.100.2/24,192.168.100.1
!
end
Dans ce deuxime cas de figure, linterface de management de lASA est raccorde
au rseau de production. Et dans ce cas cette on va faire en sorte que linterface de
management de lASA ainsi que linterface du module Firepower rcuprent chacune,
une adresse IP dans le rseau de lentreprise, et ce en dhcp.
On peut noter que cette solution lavantage de ncessiter quasiment aucun
paramtrage sur site et permet un dmarrage instantane de la sonde IDS. Elle
impose seulement davoir dterminer les adresses IP qui ont t ngocies si lon
souhaite administrer lASA.

53
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

conf term
!
Interface Management 1/1
nameif management
management-only
ip address dhcp setroute
no shutdown
interface Gigabitethernet 1/1
no nameif
traffic-forward sfr monitor-only
no shutdown
interface Gigabitethernet 1/2
no nameif
traffic-forward sfr monitor-only
no shutdown
interface BVI1
no ip address
username admin password cisco privilege 15
54
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

crypto key generate rsa modulus 2048


yes
!
domain cisco.com
ssh 0.0.0.0 0.0.0.0 management
http 0.0.0.0 0.0.0.0 management
http server enable
enable password cisco
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
dhcpd dns 8.8.8.8
dhcpd address 192.168.100.20-192.168.100.30 management
dhcpd enable management
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege cmd level 3 mode exec command packet-tracer
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
55
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

privilege show level 3 mode exec command dhcpd


privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
!
session sfr do setup host ip dhcp
!
end
Le test qui va vous permettre de vrifier que la sonde IDS est prte lemploi et est
prte tre connecte son FireSight Management Center, est un ping de ladresse
IP du FireSight Management Center, ou un ping dun nom de domaine existant sur
INTERNET.

session sfr console


56
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Opening console session with module sfr.


Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire3D login: admin
Password:
Last login: Sat Mar 19 07:22:57 UTC 2016 on pts/0

Copyright 2004-2015, Cisco and/or its affiliates. All rights reserved.


Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Linux OS v5.4.1 (build 12)
Cisco ASA5506 v5.4.1 (build 211)
> expert
admin@Sourcefire3D:~$ sudo su
Password:
root@Sourcefire3D:/Volume/home/admin#
root@Sourcefire3D:/Volume/home/admin# ping www.google.com
PING www.google.com (216.58.211.68) 56(84) bytes of data.

Le bon fonctionnement de la rsolution DNS nous confirme que le module Firepower


est oprationnel et est prt tre connect son Firesight Management Center.

CONCLUSION DE CE "Quick Start Guide"


A ce stade votre ASA 5506 est compltement oprationnel, Il est insr la topologie
du rseau, et il est prt recevoir les politiques de scurit.
Les oprations suivantes drouler sont maintenant :

Cration des politiques de scurit NGIPS


Scurisation avance du boitier

Dans le cas de lutilisation du boitier en sonde IDS danalyse de scurit, il faudra


enregistrer ce dernier un FireSIGHT Management Center externe dans lequel seront
57
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

dfinis les politiques de scurit dobservation .

58
Cisco
Tous les contenus sont protgs par copyright 2015, Cisco , Inc. Tous droits rservs.
Avertissements importants et dclaration de confidentialit.

Vous aimerez peut-être aussi