Firewall

chantier

  • Ce firewall est plus un switch de niveau 3 qu’un routeur ⇒ le cloisonnement des sous-réseaux se fait par l’intermédiaire de VLANs

  • La version du firmware est : asa825-k8.bin

  • La license est une license de base qui offre les fonctionnalités suivantes :

    ciscoasa> en
Password:            <- vide dans la configuration de base
ciscoasa# show activation-key

Serial Number:  JMX184241ZE
Running Activation Key: 0xce31e34d 0x2097ce9e 0xf4019568 0x9a844c94 0x81313cb2

Licensed features for this platform:
Maximum Physical Interfaces    : 8
VLANs                          : 3, DMZ Restricted
Inside Hosts                   : 50
Failover                       : Disabled
VPN-DES                        : Enabled
VPN-3DES-AES                   : Enabled
SSL VPN Peers                  : 2
Total VPN Peers                : 10
Dual ISPs                      : Disabled
VLAN Trunk Ports               : 0
Shared License                 : Disabled
AnyConnect for Mobile          : Disabled
AnyConnect for Cisco VPN Phone : Disabled
AnyConnect Essentials          : Disabled
Advanced Endpoint Assessment   : Disabled
UC Phone Proxy Sessions        : 2
Total UC Proxy Sessions        : 2
Botnet Traffic Filter          : Disabled

This platform has a Base license.

The flash activation key is the SAME as the running key.

ciscoasa#

  • La version du Cisco Adaptive Security Device Manager (ASDM) (→ interface web d’administration intégrée au firewall) est : asdm-645.bin

  • Réinitialisation avec paramètres d’usine depuis le CLI :

    ciscoasa> en
ciscoasa# conf t
ciscoasa(config)# config factory-default
[...]
ciscoasa(config)# reload save-config noconfirm

  • Packet Tracer 7.1 dispose du ASA 5505 avec un firmware en version 8.42 (asa842-k8.bin) et d’une licence de base avec les fonctionnalités suivantes :

    Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports : 0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual

    Possibilité de s’entraîner à la configuration du matériel réel avec Packet Tracer

  • Liens consultés :

  • Le firewall ASA 5505 dispose du firmware : asa842-k8.bin

  • Config initiale :

ciscoasa# show run
: Saved
:
ASA Version 8.2(5)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 no ip address
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp setroute
!
ftp mode passive
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:ee41fe75a90698ba9c758e43ad4f4870
: end
ciscoasa#

Install ASDM

L’administration du firewall ASA5505 peut se faire en ligne de commande depuis la liaison “Console” mais aussi depuis une interface graphique appelée ASDM (Adaptive Security Device Manager). Cette interface graphique (programme Java) peut s’installer directement en se connectant sur le serveur web présent sur l’ASA5505.

Le programme Java faisant office d’interface graphique d’administration de l’ASA5505 est dépendant de la version de Java installée sur le PC sur lequel on va l’installer. La version d’ASDM livrée avec le firewall est la version 6.45. Or, cette version requiert un environnement d’exécution Java plutôt ancien (v6 en 32 bits).

On va donc mettre à jour le firewall ASA5505 pour qu’il mette à disposition une version plus récente d’ASDM (v7.82) prenant en charge la version actuelle de Java (v8) pour plateforme 64 bits.

Procédure simplifiée

  1. Mettre le PC Windows10 d’administration et le firewall dans le même réseau

  2. Lancer un serveur TFTP sur le PC Windows10

  3. Copier l’image — via TFTP — du package d’installation d’ASDM v7.82 sur le firewall

  4. Activer ce package d’installation sur le firewall

  5. Se connecter au serveur web du firewall depuis le PC Windows10 pour télécharger l’installateur d’ASDM (fichier .msi)

  6. Installer ASDM sur le PC Windows10

  7. Lancer ASDM pour s’assurer du bon fonctionnement de ce dernier à savoir le lancement de son exécution, sa connexion au firewall avec affichage de son état et de sa configuration actuelle (avec possibilité de la modifier)

Procédure détaillée

  • Vérifier depuis la console que le serveur web de l’ASA5505 est activé et qu’il est bien configuré pour accepter une connexion depuis le PC qui va accueillir le logiciel d’administration ASDM :

    ciscoasa(config)# show run http
http server enable
http 192.168.1.0 255.255.255.0 inside

  • screenshots

  • editer le raccourci pour changer :

    f3856ad364e35amd64~19041.329.1.7\amd64_microsoft-windows-scripting_31bf3856ad364e35_10.0.19041.264_none_2649f3f85f3b49b1\f\wscript.exe invisible.vbs run.bat

    par

    C:\Windows\System32\wscript.exe invisible.vbs run.bat

Si un environnement d’exécution Java autre que celui d’Oracle est installé (ex. “AdoptOpenJDK”) et que son chemin d’accès prévaut sur ce-dernier, ASDM ne se lancera pas. Il faut alors modifier le script run.bat du répertoire d’installation d’ASDM pour spécifier en dur le chemin d’accès au moteur d’éxécution Java d’Oracle.

start "" "C:\Program Files (x86)\Common Files\Oracle\Java\javapath\javaw.exe" -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher

au lieu de :

start javaw -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher

Configuration du firewall

Vérification du bon fonctionnement

Nettoyage

Vous allez ici réinitialiser l’environnement de travail de cette activité pour permettre à la prochaine équipe de refaire tout le travail d’installation et de configuration que vous avez vous même effectué.

  • Réinitialiser le firewall dans sa configuration d’origine

    delete disk0:/asdm-782.bin
configure factory-default
write mem

  • Désinstaller ASDM sur le PC Windows10

  • Désinstaller le serveur TFTP sur le PC Windows10

🞄  🞄  🞄