Vous êtes sur la page 1sur 14

Les éléments à télécharger sont disponibles à l'adresse suivante :

http://www.editions-eni.fr.
Saisissez la référence ENI de l'ouvrage EPASCIS dans la zone de recherche et validez.
Cliquez sur le titre du livre puis sur le lien de téléchargement.

Chapitre 1
Introduction
1. Objectifs du livre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2. Public visé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3. Connaissances préalables recommandées . . . . . . . . . . . . . . . . . . . . 17
4. Organisation de l'ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
5. Conventions d'écriture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
6. Commentaires et suggestions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Chapitre 2
La gamme ASA
1. Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2. Modèles de la gamme ASA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.1 ASA 5505 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.1.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.1.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.1.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.2 ASA 5510 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.2.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.2.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.2.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.3 ASA 5520 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.3.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.3.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.3.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2 Cisco ASA
Mise en œuvre et configuration de base

2.4 ASA 5540 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26


2.4.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.5 ASA 5550 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.5.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.5.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.5.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.6 ASA 5580-20 et ASA 5580-40 . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.6.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.6.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.6.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.7 ASA 5585-X avec SSP-10 et ASA 5585-X avec SSP-20 . . . . . . . 28
2.7.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.7.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.7.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.8 ASA 5585-X avec SSP-40 et ASA 5585-X avec SSP-60 . . . . . . . 29
2.8.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.8.2 Licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.8.3 Options matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3. Pour aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Chapitre 3
Modes et interfaces de gestion
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2. Les différentes interfaces utilisables . . . . . . . . . . . . . . . . . . . . . . . . 31
2.1 Interface ligne de commande
(CLI ou Command Line Interface) . . . . . . . . . . . . . . . . . . . . . 31
2.2 Interface graphique ASDM (GUI ou Graphical User Interface) 33
2.3 Interface centralisée CSM (Cisco Security Manager) . . . . . . . . 35
Table des matières 3
3. L'interface CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.1 Connexion en port console . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2 Connexion en mode Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.3 Connexion en mode SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.4 Les outils disponibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.4.1 Aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.4.2 Complétion automatique des commandes . . . . . . . . . . . . 42
3.4.3 Historique de commandes . . . . . . . . . . . . . . . . . . . . . . . . 43
3.5 Les différents modes de travail dans la CLI . . . . . . . . . . . . . . . 44
3.5.1 Mode EXEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.5.2 Mode enable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.5.3 Mode ROM monitor (ROMmon) . . . . . . . . . . . . . . . . . . 48
4. L'interface ASDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.1 Lancement de l'interface web . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.2 Lancement du client lourd. . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
5. Configuration initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
5.1 Connexion en mode CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
5.1.1 Utilisation de la commande setup . . . . . . . . . . . . . . . . . . 57
5.1.2 Configuration directe. . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5.2 Connexion en mode ASDM . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5.2.1 Lancement du Startup wizard . . . . . . . . . . . . . . . . . . . . . 58
6. Sauvegarde des configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.1 En local (sur le boîtier) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.2 Sur un serveur ou un poste de travail . . . . . . . . . . . . . . . . . . . 61
7. Mise en place de journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.1 En local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.2 Sur un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4 Cisco ASA
Mise en œuvre et configuration de base

Chapitre 4
Réglages de base
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
2. Descriptif du réseau mis en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . 70
3. Gestion du boîtier - Réglages de base . . . . . . . . . . . . . . . . . . . . . . . 71
4. Réinitialisation et configuration de base du boîtier . . . . . . . . . . . . . 72
4.1 Remise à zéro et configuration usine. . . . . . . . . . . . . . . . . . . . 72
4.1.1 Exemple de mise en œuvre d'une remise à zéro . . . . . . . . 72
4.1.2 Exemple de mise en œuvre d'une remise en configuration
usine 75
4.2 Paramétrages des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
4.2.1 Exemple de mise en œuvre. . . . . . . . . . . . . . . . . . . . . . . . 78
4.2.2 Précisions de configuration. . . . . . . . . . . . . . . . . . . . . . . . 81
4.2.3 Contrôle des interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4.3 Administration du boîtier en HTTP et en SSH . . . . . . . . . . . . 87
4.3.1 Exemple de mise en œuvre. . . . . . . . . . . . . . . . . . . . . . . . 87
4.3.2 Précisions sur cette configuration. . . . . . . . . . . . . . . . . . . 88
4.4 Paramétrage d'une route par défaut
et de routes statiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.4.1 Exemple de mise en œuvre. . . . . . . . . . . . . . . . . . . . . . . . 90
4.5 Paramétrage des DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.6 Paramétrage de l'heure. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.7 Paramétrage de la journalisation . . . . . . . . . . . . . . . . . . . . . . . 96
4.8 Paramétrage d'un serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . 97
5. Réglages pour les connexions sortantes. . . . . . . . . . . . . . . . . . . . . . 98
5.1 Les translations d'adresses dynamiques de type NAT . . . . . . . 99
5.2 Les translations d'adresses dynamiques de type PAT . . . . . . . 102
5.3 Les translations d'adresses statiques. . . . . . . . . . . . . . . . . . . . 107
5.4 Les translations des adresses de destination . . . . . . . . . . . . . . 110
5.5 Réglages et commandes complémentaires
liés aux translations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
5.5.1 show running-config nat (abrégeable en sh run nat) . . . 111
Table des matières 5

5.5.2 show run global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112


5.5.3 show run static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.5.4 show nat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.5.5 show xlate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.5.6 show conn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.5.7 show local-host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.5.8 clear nat counters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
5.5.9 clear xlate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
5.5.10 nat-control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
5.6 Cas particuliers des connexions de type ICMP . . . . . . . . . . . 118
6. Réglages pour les connexions entrantes . . . . . . . . . . . . . . . . . . . . 121
6.1 Les translations statiques un pour un (ou one to one) . . . . . . 121
6.2 Les translations statiques de type PAT . . . . . . . . . . . . . . . . . 122
6.3 Les listes d'accès entrantes (ACL) . . . . . . . . . . . . . . . . . . . . . 122
7. Réglages des translations en fonction d'ACL . . . . . . . . . . . . . . . . . 126
8. Avantages et inconvénients des différentes
méthodes de translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.1 Dynamiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.2 Dynamiques PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.3 Statiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
9. Les ACL en détail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
9.1 Rappels sur le fonctionnement . . . . . . . . . . . . . . . . . . . . . . . 129
9.2 Types d'ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
9.2.1 Standard access list . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
9.2.2 Extended ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
9.2.3 EtherType access list . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
9.2.4 WebType Access List . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
9.2.5 IPv6 access list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
9.3 Les groupes d'objets et les ACL . . . . . . . . . . . . . . . . . . . . . . . 133
9.3.1 Groupe Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
9.3.2 Groupe Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.3.3 Groupe Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
6 Cisco ASA
Mise en œuvre et configuration de base

9.3.4 Groupe ICMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136


9.3.5 Imbrication de groupes. . . . . . . . . . . . . . . . . . . . . . . . . . 137
9.3.6 Utilisation des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . 137
9.3.7 Affichage des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . 138
9.3.8 Destruction de groupes . . . . . . . . . . . . . . . . . . . . . . . . . 140
9.4 Récapitulatif des autres commandes liées aux ACL . . . . . . . . 140
9.4.1 Suppression d'une ACE dans une ACL . . . . . . . . . . . . . . 140
9.4.2 Suppression d'une ACL . . . . . . . . . . . . . . . . . . . . . . . . . 141
9.4.3 Ajout d'une remarque dans une ACL . . . . . . . . . . . . . . . 141
9.4.4 Ajout d'une ACE sur une ligne précise . . . . . . . . . . . . . . 142
9.4.5 Listage des ACL ou d'une ACL spécifique . . . . . . . . . . . . 142
9.4.6 Affectation d'une plage horaire à une ACL . . . . . . . . . . . 144

Chapitre 5
Filtrages avancés et authentification
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
2. L'inspection du trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
2.1 Le MPF (Modular Policy Framework) . . . . . . . . . . . . . . . . . . 149
2.1.1 Principes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
2.1.2 class-map de niveau 3 et 4 (class-map) . . . . . . . . . . . . . . 149
2.1.3 class-map de couche 7 (class-map inspect) . . . . . . . . . . . 152
2.1.4 Policy map pour les couches 3 et 4 (policy-map) . . . . . . 158
2.1.5 Policy-map pour la couche 7 (policy-map inspect) . . . . . 159
2.1.6 Policy service (service-policy) . . . . . . . . . . . . . . . . . . . . . 161
2.1.7 Policy par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
2.2 Trafics pouvant être inspectés . . . . . . . . . . . . . . . . . . . . . . . . 163
2.2.1 Au niveau général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
2.2.2 Au niveau policy map inspect . . . . . . . . . . . . . . . . . . . . 164
2.2.3 Au niveau class-map inspect (couche 7) . . . . . . . . . . . . . 165
Table des matières 7
3. L'authentification des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . 165
3.1 Présentation et mise en œuvre des bases d'authentification . . 166
3.1.1 Base locale d'utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . 167
3.1.2 Serveur RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
3.1.3 Serveur TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
3.1.4 Serveur Kerberos/Active Directory . . . . . . . . . . . . . . . . . 169
3.1.5 Serveur LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
3.1.6 Serveur RSA/SDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
3.1.7 Serveur Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
3.2 Utilisation des fonctions AAA
pour l'administration du boîtier . . . . . . . . . . . . . . . . . . . . . . . 170
3.3 Utilisation des fonctions AAA pour la gestion
du trafic firewall (CTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
3.3.1 Paramétrages de base . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
3.3.2 Paramétrages complémentaires. . . . . . . . . . . . . . . . . . . . 176
3.3.3 Limites d'utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
4. Filtrage du contenu Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Chapitre 6
Les VPN IPsec en site à site
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
2. Les réseaux mis en œuvre en exemple. . . . . . . . . . . . . . . . . . . . . . 180
3. Cas 1 : adresses IP fixes, clé partagée, un seul réseau . . . . . . . . . . 181
3.1 Configurations préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
3.2 Activation de ISAKMP/IKE . . . . . . . . . . . . . . . . . . . . . . . . . . 184
3.3 Définition de la méthode d'identification (isakmp identity). . 185
3.4 Méthodes de protection utilisées en phase 1 (isakmp policy) . 185
3.5 Définition du tunnel-group . . . . . . . . . . . . . . . . . . . . . . . . . . 187
3.6 Définition des transform sets . . . . . . . . . . . . . . . . . . . . . . . . 189
3.7 Définition des durées de vie globales pour les SA
(Security Association) de données . . . . . . . . . . . . . . . . . . . . . 190
3.8 Définition des crypto maps . . . . . . . . . . . . . . . . . . . . . . . . . . 191
8 Cisco ASA
Mise en œuvre et configuration de base

3.9 Exclusion de translation d'adresses . . . . . . . . . . . . . . . . . . . . 194


3.10 Validation du VPN et observation des SA . . . . . . . . . . . . . . . 195
3.11 Résolution des problèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
3.12 Destruction des SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
4. Cas 2 : adresses IP fixes, clé partagée, plusieurs réseaux . . . . . . . . 209
4.1 Une seule séquence de crypto map . . . . . . . . . . . . . . . . . . . . 209
4.2 Séquences de crypto maps différentes
pour avoir des niveaux de cryptage différents . . . . . . . . . . . . 210
5. Cas 2 bis : ajout de réseaux accessibles indirectement . . . . . . . . . . 212
6. Cas 3 : adresses IP fixes, authentification
par certificat, un seul réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
6.1 Paramétrage isakmp identity . . . . . . . . . . . . . . . . . . . . . . . . . 214
6.2 Paramétrage isakmp policy . . . . . . . . . . . . . . . . . . . . . . . . . . 215
6.3 Paramétrage tunnel-group . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
6.4 Paramétrage crypto map . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
6.5 Test et validation de la mise en œuvre des certificats . . . . . . 217
7. Cas 4 : une adresse IP fixe et une adresse IP dynamique,
un seul réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8. Pour aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
8.1 Fichiers en téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . 220
8.2 Ouvrages et liens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
8.2.1 Quelques documents . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
8.2.2 Quelques liens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Chapitre 7
Les VPN IPsec poste à site
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
2. Les différents clients utilisables sur les postes nomades . . . . . . . . 225
3. Installation du Client VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
4. Paramétrage du boîtier ASA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
4.1 Paramétrage du Client VPN. . . . . . . . . . . . . . . . . . . . . . . . . . 239
Table des matières 9
4.2 Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
5. En cas de problèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
6. Cas particulier d'un VPN IPsec traversant le pare-feu . . . . . . . . . . 261
7. Autres options de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 262
7.1 Transparent Tunneling (NAT/PAT) . . . . . . . . . . . . . . . . . . . 262
7.1.1 NAT-T (NAT-Traversal) . . . . . . . . . . . . . . . . . . . . . . . . 262
7.1.2 IPsec over UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
7.1.3 IPsec over TCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
7.2 Split-tunnel ou non ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
7.3 Authentification par certificats . . . . . . . . . . . . . . . . . . . . . . . 264
7.4 Authentification par serveur tiers . . . . . . . . . . . . . . . . . . . . . 265
7.5 Filtrage du trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
7.6 Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
7.7 Hub and Spoke (Hairpinning) . . . . . . . . . . . . . . . . . . . . . . . . 267
8. Pour aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
8.1 Fichiers en téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . 268
8.2 Ouvrages et liens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

Chapitre 8
Les VPN SSL pour accès distant
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
2. VPN SSL sans client (clientless) . . . . . . . . . . . . . . . . . . . . . . . . . . 270
2.1 Paramétrage de base du boîtier . . . . . . . . . . . . . . . . . . . . . . . 271
2.2 Essais côté client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
2.3 Paramétrages complémentaires . . . . . . . . . . . . . . . . . . . . . . . 293
2.3.1 Désactivation temporaire de l'accès (keepout) . . . . . . . . 293
2.3.2 Activation d'un clavier virtuel (onscreen-keyboard) . . . . 295
2.3.3 Personnalisation des menus disponibles après le login . . 296
2.3.4 Activation d'une page d'accueil. . . . . . . . . . . . . . . . . . . . 300
2.3.5 Limitation des sites visités . . . . . . . . . . . . . . . . . . . . . . . 301
2.3.6 Limitation des quantités de données transférées. . . . . . . 303
10 Cisco ASA
Mise en œuvre et configuration de base

2.3.7 Limitation des plages horaires . . . . . . . . . . . . . . . . . . . . 304


2.3.8 Autres paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
2.4 Limitations imposées par cette méthode de connexion . . . . . 310
2.5 Résolution de problèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
3. Avec client léger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
3.1 Le port forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
3.2 Les plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
3.2.1 Récupération et installation des plug-ins . . . . . . . . . . . . 316
3.2.2 Inventaire et suppression des plug-ins installés . . . . . . . 319
3.3 Les Smart Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
4. Avec le client AnyConnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
4.1 Pré-requis côté poste distant . . . . . . . . . . . . . . . . . . . . . . . . . 322
4.2 Préparation du boîtier pour le déploiement
du client par le web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
4.3 Paramétrages côté boîtier. . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
4.4 Installation du client AnyConnect en mode web. . . . . . . . . . 326
4.5 Installation du client AnyConnect en mode autonome . . . . . 333
4.6 Paramétrages côté client . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
4.7 Tests et résolution de problèmes . . . . . . . . . . . . . . . . . . . . . . 340
5. Pour aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
5.1 Fichiers en téléchargement . . . . . . . . . . . . . . . . . . . . . . . . . . 341
5.2 Ouvrages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
5.3 Quelques documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
5.4 Quelques liens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342

Chapitre 9
Gestion des certificats
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
2. Génération des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
2.1 Choix de l'autorité certificatrice. . . . . . . . . . . . . . . . . . . . . . . 344
2.1.1 La réputation de la marque . . . . . . . . . . . . . . . . . . . . . . 344
Table des matières 11

2.1.2 Les facilités de création et de régénération des certificats 344


2.1.3 Les garanties accordées. . . . . . . . . . . . . . . . . . . . . . . . . . 345
2.1.4 La facilité de reconnaissance dans les navigateurs. . . . . . 345
2.1.5 Les possibilités de wildcarding ou de multi-noms . . . . . . 345
2.2 Génération de CSR (Certificate Signing Request) . . . . . . . . . 346
2.3 Utilisation de la CSR pour demander la génération
du certificat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
2.4 Validation de l'identité du requérant . . . . . . . . . . . . . . . . . . . 352
2.5 Délivrance du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
3. Importation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
4. CRL (Certificate Revocation List) . . . . . . . . . . . . . . . . . . . . . . . . . 358
5. Auto-enrollment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
6. Gestion des certificats pour les postes nomades . . . . . . . . . . . . . . 359
6.1 Génération des CSR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
6.2 Gestion d'un certificat nomade dans un client VPN. . . . . . . . 363
6.2.1 Importation du certificat . . . . . . . . . . . . . . . . . . . . . . . . 363
6.2.2 Utilisation du certificat dans le client VPN . . . . . . . . . . 367
7. Pour aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
7.1 Ouvrages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
7.2 Quelques documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
7.3 Quelques liens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

Chapitre 10
Tâches diverses d'administration
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
2. Sauvegardes et restaurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
2.1 Interface CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
2.1.1 Sauvegardes locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
2.1.2 Sauvegardes distantes. . . . . . . . . . . . . . . . . . . . . . . . . . . 374
2.1.3 Restaurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
2.2 Interface ASDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
12 Cisco ASA
Mise en œuvre et configuration de base

3. Récupération de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . 379


3.1 Méthode pour démarrer sans le mot de passe . . . . . . . . . . . . 379
3.1.1 Boot en mode Rom monitor (ROMMON) . . . . . . . . . . . 380
3.1.2 Affichage et changement du registre . . . . . . . . . . . . . . . 381
3.1.3 Reprise de la configuration opérationnelle en mémoire. . 384
3.1.4 Changement du mot de passe enable . . . . . . . . . . . . . . . 385
3.2 Comment empêcher la récupération de mot de passe :
blocage de la console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
4. Mises à jour logicielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
4.1 Téléchargement des logiciels . . . . . . . . . . . . . . . . . . . . . . . . . 389
4.2 Transfert des logiciels sur le boîtier . . . . . . . . . . . . . . . . . . . . 399
4.2.1 TFTP avec l'interface CLI . . . . . . . . . . . . . . . . . . . . . . . . 400
4.2.2 HTTP avec l'interface CLI . . . . . . . . . . . . . . . . . . . . . . . 402
4.2.3 FTP avec l'interface CLI . . . . . . . . . . . . . . . . . . . . . . . . . 402
4.2.4 Utilisation de l'interface graphique (ASDM). . . . . . . . . . 403
4.3 Changement du firmware de démarrage et du client ASDM . . . . 404
4.4 En cas de problèmes avec les nouvelles versions. . . . . . . . . . . 407
4.5 Mise à jour des clients VPN. . . . . . . . . . . . . . . . . . . . . . . . . . 408
4.6 Mise à jour automatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408

Chapitre 11
Fonctionnalités avancées
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
2. La haute disponibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
2.1 Principes de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . 411
2.2 Pré-requis pour les boîtiers. . . . . . . . . . . . . . . . . . . . . . . . . . . 412
2.3 Données échangées par le lien de failover (failover link) . . . . 412
2.4 Points testés pour juger de l'état d'un boîtier . . . . . . . . . . . . . 413
2.5 Points testés pour juger de l'état d'une interface . . . . . . . . . . 413
2.6 Critères de bascule du mode standby en mode active . . . . . . 414
2.7 Stateful failover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
2.8 Redondance d'interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Table des matières 13
2.9 Mise en œuvre de la haute disponibilité actif/passif . . . . . . . 416
2.9.1 Sur le boîtier actif (aussi dénommé primaire) . . . . . . . . . 416
2.9.2 Sur le boîtier en standby (secondaire). . . . . . . . . . . . . . . 417
3. Gestion de bande passante et QoS (Quality of Service). . . . . . . . . 418
3.1 Limitation de bande passante . . . . . . . . . . . . . . . . . . . . . . . . 418
3.2 Gestion des priorités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
4. Mode transparent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
4.1 Principes de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . 421
4.2 Avantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
4.3 Limitations - Inconvénients. . . . . . . . . . . . . . . . . . . . . . . . . . 422
5. Contextes et virtualisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
5.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
5.1.1 Zone système (System Execution Space) . . . . . . . . . . . . 423
5.1.2 Contexte d'administration (Administrative Context) . . . 424
5.1.3 Contextes de sécurité (Security Context) . . . . . . . . . . . . 424
5.2 Périmètres d'utilisation de ce multimode . . . . . . . . . . . . . . . . 425
5.3 Limites et contraintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
6. Routages dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426

Chapitre 12
Licences et options complémentaires
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
2. Les cartes AIP-SSC et AIP-SSM. . . . . . . . . . . . . . . . . . . . . . . . . . . 427
3. Les cartes CSC-SSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
3.1 Licence de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
3.1.1 Antivirus et antispyware . . . . . . . . . . . . . . . . . . . . . . . . 429
3.1.2 Blocage de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
3.2 Licence Plus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
3.3 Trafics analysés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
14 Cisco ASA
Mise en œuvre et configuration de base

4. Les cartes d'interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430


4.1 4GE-SSM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
4.2 Cartes pour le 5580 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
5. Le filtrage de contenu (WebSense ou Smartfilter) . . . . . . . . . . . . . 431
5.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
5.2 Mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Annexes
1. Objectifs du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
2. Éléments de référence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
2.1 Principaux protocoles IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
2.2 Principaux ports utilisés en TCP/UDP . . . . . . . . . . . . . . . . . . 438
2.3 Principaux messages ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . 439
3. Captures de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
4. Simulateur de paquets (Packet Tracer) . . . . . . . . . . . . . . . . . . . . . 443
5. IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
6. Nouveautés essentielles de la version 8.3 . . . . . . . . . . . . . . . . . . . 448
6.1 Utilisation des adresses IP réelles dans les NAT et PAT . . . . . 449
6.2 Utilisation d'objets réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
6.3 Migration de configurations . . . . . . . . . . . . . . . . . . . . . . . . . 450
6.4 Migration des objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
7. Nouveautés de la version 8.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
8. Quelques liens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
9. Rappels sur les téléchargements . . . . . . . . . . . . . . . . . . . . . . . . . . 455

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457