C2

.U
TP7

IC
Sécurité Réseaux

NT
Sommaire

Objectifs du TP

x.
Firewall ASA TP7

u
5505

ea
Présentation de ASA
5505
Configuration du Firewall ASA 5505

s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
5505

Dr. N. Benlahrache
ité

Tests et
Évaluation
ur

Master 1 G.L., Faculté NTIC, Constantine2

c
Sé

Décembre 

1/13 Sécurité Réseaux TP7

 C2
.U
TP7

IC
Sécurité Réseaux

NT
Sommaire 1 Objectifs du TP
Objectifs du TP

x.
Firewall ASA

u
5505

ea
Présentation de ASA
5505 2 Firewall ASA 5505

s
Configuration par
Présentation de ASA 5505
défaut d’ASA 5505
Ré
Configuration d’ASA
5505 Configuration par défaut d’ASA 5505
ité

Tests et
Évaluation
Configuration d’ASA 5505
c ur
Sé

3 Tests et Évaluation

2/13 Sécurité Réseaux TP7

 Objectifs du TP :

C2
.U
TP7

C
TI
Sécurité Réseaux
Utilisation d’un équipement Cisco dédié ayant la mission d’un

.N
Sommaire parefeu,
Objectifs du TP

ux
Firewall ASA Utiliser le Firewall ASA 5505 pour sécuriser l’accès à un réseau
5505
privé,

ea
Présentation de ASA
5505

s
Configuration par
Gérer les niveaux de sécurité entre un réseau privé et réseau
défaut d’ASA 5505
Ré
Configuration d’ASA
5505
publique.
ité

Tests et
Évaluation
ur
c
Sé

3/13 Sécurité Réseaux TP7

 Présentation de ASA 5505

C2
.U
TP7

IC
Sécurité Réseaux
Le Cisco ASA 5505 est un Serveur de Sécurité Adaptatif complet

NT
destiné aux petites entreprises et aux environnements de télétravail.
Sommaire

Objectifs du TP Il offre des services haute performance de firewall, de VPN SSL et

x.
Firewall ASA IPSec.

u
5505

ea
Présentation de ASA
5505 Le Cisco ASA 5505 est doté d’un commutateur FastEthernet à 8

s
Configuration par
défaut d’ASA 5505 ports qui peuvent être groupés dynamiquement afin de créer jusqu’à
Ré
Configuration d’ASA
5505 trois VLAN distincts pour l’utilisation domestique, les besoins
professionnels et le trafic Internet.
ité

Tests et
Évaluation
ur

Le firewall ASA 5505 est un équipement Cisco, doté d’un système

c

IOS par conséquent sa configuration est basée sur des commandes

Sé

qui ressemblent à celles d’un routeur/switch Cisco.

4/13 Sécurité Réseaux TP7

 Configuration par défaut d’ASA 5505

C2
.U
TP7

IC
Sécurité Réseaux Le firewall ASA 5505 a une configuration initiale (par défaut), à

NT
Sommaire voir en exécutant la commande (voir diapo 6) :
Objectifs du TP
show running-config

x.
Firewall ASA

u
5505
Cette configuration le prépare déjà à une NAT !

ea
Présentation de ASA
5505
Il y a deux vlans 1 et 2 par défaut,
s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
5505
Le paramètre de ”nameif” est le nom attribué au vlan,et auquel
est attribué un niveau de sécurité particulier :
ité

Tests et
Évaluation

vlan 1 a le nom inside pour désigner le réseau privé,

ur

vlan 2 a le nom outside pour désigner le réseau publique.

c
Sé

Par défaut le port 0 est considéré ”outside” attribué au vlan2,

les autres ports restants sont sont considérés ”inside”.

5/13 Sécurité Réseaux TP7

 Configuration par défaut d’ASA 5505

C2
.U
TP7

IC
Sécurité Réseaux

NT
Sommaire

Objectifs du TP

x.
Firewall ASA

u
5505

ea
Présentation de ASA
5505

s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
5505
ité

Tests et
Évaluation
ur
c
Sé

6/13 Sécurité Réseaux TP7

 Configuration par défaut d’ASA 5505

C2
.U
TP7

C
Le niveau de sécurité ou security-level est une valeur allant de 0

TI
Sécurité Réseaux

à 100 :

.N
Sommaire

Objectifs du TP
1 La zone ayant le niveau de sécurité = 100 est considérée comme

ux
Firewall ASA
5505 la zone la plus sûre.

ea
Présentation de ASA
5505 2 La zone ayant le niveau de sécurité = 0 est considérée comme

s
Configuration par
une zone totalement pas sûre.
défaut d’ASA 5505
Ré
Configuration d’ASA
5505

Les interfaces logiques sont configurées en dhcp (pour l’outside

ité

Tests et
Évaluation
parce que souvent c’est via un modem ADSL).
ur
c
Sé

7/13 Sécurité Réseaux TP7

 Configuration d’un ASA 5505

C2
.U
TP7

C
La configuration se déroule en plusieurs étapes :

TI
Sécurité Réseaux

.N
Sommaire 1 Modifier la configuration par défaut du Firewall et donner à
Objectifs du TP
l’interface outside (celle du vlan2) une adresse statique,

ux
Firewall ASA
5505

ea
Présentation de ASA
5505
2 Définir le réseau interne ou local (inside),

s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
3 Configurer la NAT dynamique,
5505
ité

Tests et
Évaluation
4 Activer les PCs du réseau inside en client DHCP,
ur

5 Si le firewall est connecté à une passerelle, il faut lui configurer

c

une route par défaut .

Sé

8/13 Sécurité Réseaux TP7

 Configuration d’un ASA 5505

C2
.U
TP7

C
Ces commandes peuvent être utilisées pour modifier la configuration

TI
Sécurité Réseaux
initiale du firewall ASA 5505.

.N
Sommaire

Objectifs du TP
1 Désactivation du service DHCP sur une interface :

ux
Firewall ASA
5505 - asa(config)#interface vlan ”n◦ vlan”

ea
Présentation de ASA
5505
- asa(config-if)#no ip add dhcp

s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
2 Attribution d’une adresse statique à une interface :
5505
- asa(config-if)#ip add ”IP-adresse” ”masque”
ité

Tests et
Évaluation

Activation du service dhcp sur une interface avec définition du

ur

pool associé :
c
Sé

- asa(config-if)# dhcpd address ”première adresse IP”-”

dernière adresse IP” inside
Ou
- asa(config-if)# dhcpd address ”première adresse IP”-”
dernière adresse IP” outside

9/13 Sécurité Réseaux TP7

 Configuration d’un ASA 5505

C2
.U
TP7

C
4 Ces commandes sont nécessaires pour définir un réseau ayant un

TI
Sécurité Réseaux

”nom-réseau” et une adresse IP comme étant interne ou local

.N
Sommaire

Objectifs du TP
pour le firewall et pour configurer la NAT dynamique (par
défaut). Pas besoin d’ajouter des ACLs, tout est fait

ux
Firewall ASA
5505
initialement :

ea
Présentation de ASA
5505
- asa(config)#object network ”nom-réseau”

s
Configuration par
- asa(config-network-object)#SUBnet ”adresse-IP-réseau”
défaut d’ASA 5505
Ré
Configuration d’ASA
5505
”masque-réseau”
ité

Tests et
Évaluation - asa(config-network-object)#nat (inside, outside) dynamic
interface
ur

5 En cas de besoin, il est parfois nécessaire d’ajouter une route par

c
Sé

défaut vers l’extérieur au firewall ASA avec la commande :

- asa(config)#route outside ”adresse IP par défaut” ”masque”
”adresse de la passerelle de sortie”

Conseil : Le mot de passe initial n’existe pas. Donc, à la demande de

celui-ci, tapez uniquement Entrée.
10/13 Sécurité Réseaux TP7
 Tests et Évaluation

C2
.U
TP7

C
Pour tester la bonne configuration, il faut pouvoir réussir ces tests :

TI
Sécurité Réseaux
1 les PCs du réseau local peuvent obtenir dynamiquement des

.N
Sommaire

Objectifs du TP
adresses IP (diapo 12),

ux
Firewall ASA
5505 2 Un ping entre le serveur et le PC1 ne doit pas aboutir !

ea
Présentation de ASA
5505

Un PC du réseau local accède au serveur Web et affiche la page

s
Configuration par 3 Ré
défaut d’ASA 5505
Configuration d’ASA
5505
d’accueil sur son Browser (attention : il faut ajouter un ”s” à
”http ://” pour avoir ”https ://” sinon il y aura une erreur
ité

Tests et
Évaluation
(diapo 13).
c ur
Sé

11/13 Sécurité Réseaux TP7

 Tests et Évaluation

C2
.U
TP7

IC
Sécurité Réseaux

NT
Sommaire

Objectifs du TP

x.
Firewall ASA

u
5505

ea
Présentation de ASA
5505

s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
5505
ité

Tests et
Évaluation
ur
c
Sé

12/13 Sécurité Réseaux TP7

 Tests et Évaluation

C2
.U
TP7

IC
Sécurité Réseaux

NT
Sommaire

Objectifs du TP

x.
Firewall ASA

u
5505

ea
Présentation de ASA
5505

s
Configuration par Ré
défaut d’ASA 5505
Configuration d’ASA
5505
ité

Tests et
Évaluation
ur
c
Sé

13/13 Sécurité Réseaux TP7