Utiliser Firewall Builder pour configurer Cisco ASA et PIX

Auteur : Mike Horn
http://www.fwbuilder.org

Firewall Builder est une interface graphique de configuration et de gestion de pare-feu qui prend en charge la configuration d’une large gamme de pare-feu à partir d’une seule application. Les pare-feu pris en charge incluent Linux iptables, BSD pf, Cisco ASA/PIX, listes d’accès de routeurs Cisco et bien d’autres. La liste complète des plateformes prises en charge ainsi que des paquets binaires téléchargeables et du code source peut être trouvée sur http://www.fwbuilder.org.

Ce tutoriel est le deuxième d’une série d’articles qui décrivent les étapes de base pour utiliser Firewall Builder afin de configurer chacune des plateformes de pare-feu prises en charge. Dans ce tutoriel, nous allons configurer des listes de contrôle d’accès (ACL) sur un pare-feu Cisco ASA.

Le diagramme ci-dessous montre une configuration simple de pare-feu à 2 interfaces basée sur un Cisco ASA 5505, le pare-feu agissant comme une passerelle vers Internet pour un réseau LAN privé.

Nous allons utiliser Firewall Builder pour mettre en œuvre les règles de base suivantes en tant que listes d’accès sur le pare-feu.

Autoriser le trafic interne (10.0.0.0/24) à travers le pare-feu vers n’importe quelle adresse Internet pour les protocoles HTTP et HTTPS
Autoriser le trafic interne du serveur de messagerie (10.0.0.25) à travers le pare-feu vers une adresse IP spécifique (198.51.100.25) pour le protocole SMTP. Ce serveur externe agit comme un relais de messagerie externe.
Autoriser le SMTP entrant de l’adresse IP externe (198.51.100.25) vers le serveur de messagerie interne (10.0.0.25).
Autoriser le trafic interne (10.0.0.0/24) vers l’interface interne du pare-feu (Ethernet0/1) pour le protocole SSH.

Notez que les listes d’accès Cisco ASA et PIX ont un refus implicite de tout à la fin de chaque liste d’accès, donc tout ce que nous ne configurons pas avec une règle pour permettre explicitement sera refusé.

Nous allons également utiliser Firewall Builder pour mettre en œuvre la configuration NAT sur le pare-feu.

NAT source de tout le trafic interne (10.0.0.0/24) à travers le pare-feu destiné à n’importe quelle adresse Internet en changeant l’adresse IP source à l’adresse IP de l’interface externe (Ethernet0/0).
NAT de destination du trafic de l’adresse IP externe (198.51.100.25), le serveur de relais SMTP externe, arrivant à l’interface externe avec le port TCP de destination 25 (SMTP) et le transférer à un serveur de messagerie interne (10.0.0.25).

REMARQUE

Dans ce guide, nous utilisons un ASA 5505 exécutant ASA OS v8.3. Certaines de la syntaxe des commandes, en particulier pour nat, sont différentes pour les versions antérieures d’ASA OS, mais vous n’avez pas à vous inquiéter de cela puisque Firewall Builder génère automatiquement les bonnes commandes de configuration en fonction de la version définie pour le pare-feu.

Étape 1 : Créer des objets réseau

Nous allons commencer par créer les objets qui seront utilisés dans les règles. Firewall Builder comprend des centaines d’objets prédéfinis, y compris la plupart des protocoles standard, donc pour mettre en œuvre les règles ci-dessus, nous n’aurons besoin de créer que les objets spécifiques à notre réseau. Pour nos règles, cela signifie que nous devons créer des objets pour le réseau interne 10.0.0.0/24, pour le serveur de messagerie interne (10.0.0.25) et pour le serveur de relais SMTP externe avec une adresse IP de 198.51.100.25.

Créer un nouvel objet réseau IP

Pour créer l’objet qui représentera notre réseau interne 10.0.0.0/24 dans l’arborescence à gauche, double-cliquez sur le dossier étiqueté Objets pour l’agrandir. Cliquez avec le bouton droit sur le dossier appelé Réseaux et sélectionnez “Nouveau réseau”. Cela crée un nouvel objet réseau. Dans la partie inférieure de votre écran, appelée le panneau de l’éditeur, vous pouvez modifier les propriétés de cet objet.

Changez le nom de l’objet en quelque chose qui correspond à la fonction, dans cet exemple nous allons l’appeler “Réseau interne” pour représenter les adresses IP LAN locales. L’adresse est définie sur 10.0.0.0 et le masque de sous-réseau est 255.255.255.0.

REMARQUE : Lors de l’édition des attributs d’un objet, il n’y a pas de bouton Appliquer ou Soumettre. Une fois que vous avez modifié un attribut, dès que vous vous éloignez du champ que vous étiez en train d’éditer, le changement prendra effet immédiatement.

Créer un nouvel objet d’adresse IP

Répétez ce processus pour créer un objet qui représentera le serveur de relais SMTP qui sera utilisé dans la règle n°2. Allez dans l’arborescence des objets et cliquez avec le bouton droit sur le dossier Adresses et sélectionnez Nouvelle adresse. Dans le panneau de l’éditeur, changez le nom de l’objet en “SMTP Relay” et définissez l’adresse IP sur 198.51.100.25.

Répétez les étapes ci-dessus pour créer un nouvel objet d’adresse pour représenter le serveur de messagerie interne (10.0.0.25). Une fois que vous avez terminé, vous devriez voir deux objets dans le dossier système Adresses dans l’arborescence des objets.

Étape 2 : Définir le pare-feu

Pour créer un objet de pare-feu représentant votre Cisco ASA, cliquez sur l’icône “Créer un nouveau pare-feu” dans la fenêtre principale de Firewall Builder. Cela lancera un assistant qui vous guidera à travers la création de votre objet de pare-feu.

Entrez un nom pour l’objet de pare-feu, dans cet exemple nous utiliserons asa-1. Changez le menu déroulant pour le logiciel qui s’exécute sur le pare-feu pour être “Cisco ASA (PIX)”.

Cliquez sur le bouton Suivant > pour continuer l’assistant.

Lors de la création d’un pare-feu dans Firewall Builder, vous avez le choix de configurer les interfaces manuellement, ou vous pouvez utiliser la découverte SNMP si vous avez SNMP activé sur votre routeur et que vous avez accès à une chaîne de communauté en lecture seule ou en lecture-écriture. Pour cet exemple, nous allons configurer manuellement les interfaces du routeur.

Cliquez sur le bouton Suivant > pour continuer à l’étape suivante.

Le pare-feu que vous créez dans Firewall Builder doit correspondre au pare-feu Cisco ASA ou PIX sur lequel vous souhaitez déployer les listes d’accès. Cela signifie que les noms d’interface et les adresses IP dans l’objet de pare-feu que vous créez doivent correspondre exactement à ce qui est configuré sur l’ASA ou le PIX.

Cliquez sur l’icône verte pour ajouter une nouvelle interface au pare-feu. Entrez le nom de l’interface exactement comme il est affiché sur la ligne de commande ASA ou PIX lorsque vous exécutez la commande “show interface”. Dans notre exemple, les interfaces sont Ethernet0/0 à Ethernet0/7, mais nous allons seulement utiliser les interfaces Ethernet0/0 et Ethernet0/1.

Définissez le nom de l’interface sur Ethernet0/0 et définissez l’étiquette sur externe. Cliquez sur le bouton Ajouter une adresse et définissez l’adresse IP sur 192.0.2.1 avec un masque de sous-réseau de 255.255.255.240.

Cliquez sur l’icône verte pour ajouter une autre interface au pare-feu. Entrez les informations dans l’assistant pour faire correspondre la deuxième interface comme suit :

Cliquez sur le bouton Suivant >.

Firewall Builder définira automatiquement le niveau de sécurité de l’interface en fonction de l’étiquette de l’interface et de l’adresse IP. L’interface externe est définie sur le niveau de sécurité 0 et l’interface interne est définie sur le niveau de sécurité 100.

Cliquez sur le bouton Terminer pour créer l’objet de pare-feu.

Après avoir créé l’objet de pare-feu représentant l’ASA ou le PIX, l’objet de pare-feu sera affiché dans l’arborescence des objets sur le côté gauche. L’objet Politique, qui est l’endroit où les règles de la liste d’accès sont configurées, est automatiquement ouvert dans la fenêtre principale.

Firewall Builder utilise le concept de Zones de réseau pour déterminer la topologie du réseau afin de créer correctement des règles. Chaque interface de pare-feu a une Zone de réseau correspondante qui doit être définie. La Zone de réseau représente l’ensemble des réseaux IP qui seraient la source du trafic entrant vers une interface.

Par exemple, si vous utilisez 10.0.0.0/8 pour votre réseau interne, l’interface “inside” devrait avoir sa Zone de réseau définie sur un objet qui représente 10.0.0.0/8. Les Zones de réseau peuvent être un objet Réseau ou un objet groupe qui inclut plusieurs objets Réseau. Un exemple de quand vous utiliseriez un objet Groupe est si votre réseau interne utilisait à la fois 10.0.0.0/8 et 172.16.0.0/16. Dans ce cas, vous créeriez un objet Groupe qui inclut des objets réseau pour ces deux réseaux IP et utiliseriez cet objet Groupe comme la Zone de réseau de votre interface “inside”.

Pour l’interface “outside”, vous allez généralement définir sa Zone de réseau sur “Any”, qui est tous les réseaux IP qui ne sont associés à aucune autre interface. Définissez la Zone de réseau en double-cliquant sur l’objet d’interface du pare-feu et en sélectionnant la Zone de réseau dans la liste déroulante.

Dans cet exemple, nous allons définir la Zone de réseau pour l’interface “outside” Ethernet0/0 sur “Any” et la Zone de réseau pour l’interface “inside” Ethernet0/1 sur “net-10.0.0.0” comme montré ci-dessous.

REMARQUE : Les Zones de réseau utilisées ci-dessus sont spécifiquement pour cet exemple. Si vous avez des adresses IP et des réseaux différents dans votre environnement réseau, vous devrez peut-être sélectionner des valeurs de Zone de réseau différentes.

Maintenant que le pare-feu ASA est prêt pour la configuration, avant de continuer, nous devrions enregistrer notre fichier de données qui contient le nouvel objet de pare-feu que nous venons de créer. Faites cela en allant dans le menu Fichier -> Enregistrer sous. Choisissez un nom et un emplacement pour enregistrer ce fichier.