ASA: Les modes du pare-feu
- Mode de pare-feu routé:
- Le mode de pare-feu transparent
Terminologie
Définir le mode pare-feu
- Avant de commencer
- Procédure

ASA: Les modes du pare-feu

Traditionnellement, un pare-feu réseau est un saut routé qui agit comme une passerelle par défaut pour les hôtes qui se connectent à l'un de ses sous-réseaux filtrés. Un pare-feu transparent (ou pare-feu de couche 2), d'autre part, agit comme un «pare-feu furtif» et n'est pas considéré comme un saut de couche 3 vers les appareils connectés.

L'appliance connecte le même sous-réseau de réseau de couche 3 sur ses ports intérieur et extérieur, mais chaque interface du pare-feu réside dans un Vlan de couche 2 différent. Le pare-feu Cisco ASA peut fonctionner à la fois en mode pare-feu routé (mode par défaut) ou en mode pare-feu transparent.

Mode de pare-feu routé:

Comme on peut le voir, il existe deux sous-réseaux de réseau différents. Réseau intérieur (10.20.20.0/24) et réseau extérieur (10.10.10.0/24).

Il doit également y avoir deux vlans de couche 2 différents (Vlan20 pour le réseau intérieur et Vlan10 pour le réseau extérieur). Tous les hôtes résidant dans le réseau interne doivent appartenir au sous-réseau 10.20.20.0 et doivent avoir la passerelle par défaut l'IP interne de l'ASA (10.20.20.1).

Le mode de pare-feu transparent

Traditionnellement, un pare-feu est un hop routé et agit comme une passerelle par défaut pour les hôtes qui se connectent à l'un de ses sous-réseaux filtrés. Un pare-feu transparent, en revanche, est un pare-feu de couche 2 qui agit comme une «dérivation dans le câble» ou un «pare-feu furtif» et n'est pas considéré comme un hop de routeur vers les périphériques connectés. Cependant, comme tout autre pare-feu, le contrôle d'accès entre les interfaces est contrôlé et toutes les vérifications habituelles du pare-feu sont en place.

La connectivité de couche 2 est obtenue en utilisant un «groupe de pont» où on regroupe les interfaces intérieures et extérieures pour un réseau, et l'ASA utilise des techniques de pontage pour passer le trafic entre les interfaces. Chaque groupe de ponts comprend une interface virtuelle de pont (BVI) à laquelle on attribue une adresse IP sur le réseau. On peut avoir plusieurs groupes de ponts pour plusieurs réseaux. En mode transparent, ces groupes de ponts ne peuvent pas communiquer entre eux.

Il n'y a qu'un seul réseau de couche 3 (10.10.10.0/24) MAIS il DOIT y avoir deux Vlans de couche 2 différents (Vlan20 pour la zone intérieure et Vlan10 pour la zone extérieure).

Tous les hôtes doivent résider dans la plage réseau 10.10.10.0 et les appareils doivent avoir comme passerelle par défaut l'adresse IP du routeur extérieur (10.10.10.2).

En outre, une adresse IP Management DOIT être configurée sur le pare-feu ASA (à nouveau dans la plage de 10.10.10.0). NE spécifiez PAS l'adresse IP de gestion de l'ASA comme passerelle par défaut pour les périphériques connectés.

Le mode pare-feu transparent ne prend en charge que deux interfaces (intérieure et extérieure)
Le pare-feu relie les paquets d'un VLAN à l'autre au lieu de les acheminer.
Les recherches MAC sont effectuées au lieu des recherches de table de routage.
Peut s'exécuter dans un contexte de pare-feu unique ou dans plusieurs contextes de pare-feu.
Un interface BVI est requis sur l'ASA.
L'adresse IP BVI doit se trouver dans le même sous-réseau que le réseau connecté.
Chaque interface de l'ASA doit être une interface VLAN différente.
Même si l'appliance agit comme un pont de couche 2, le trafic de couche 3 ne peut pas passer par l'appliance de sécurité d'un niveau de sécurité inférieur à une interface de niveau de sécurité supérieur.
Le pare-feu peut autoriser le passage de tout trafic en utilisant des listes de contrôle d'accès étendues (ACL) normales.

Terminologie

L'ASA connecte le même réseau entre ses interfaces. Étant donné que le pare-feu n'est pas considéré comme un hop, on peut facilement introduire un pare-feu transparent dans un réseau existant.

Dans un réseau de pare-feu transparent typique où les périphériques externes sont sur le même sous-réseau que les périphériques internes. Le routeur intérieur et les hôtes semblent être directement connectés au routeur extérieur.

Les groupes de ponts

Un groupe de ponts est un groupe d'interfaces que l'ASA ponte. Les groupes de ponts ne sont pris en charge qu'en mode de pare-feu transparent. Comme toutes les autres interfaces de pare-feu, le contrôle d'accès entre les interfaces est contrôlé et toutes les vérifications de pare-feu habituelles sont en place.

Interface virtuelle de pont (BVI)

Chaque groupe de ponts comprend une interface virtuelle de pont (BVI). L'ASA utilise l'adresse IP BVI comme adresse source pour les paquets provenant du groupe de ponts. L'adresse IP BVI doit être sur le même sous-réseau que les interfaces des membres du groupe de ponts. Le BVI ne prend pas en charge le trafic sur les réseaux secondaires; seul le trafic sur le même réseau que l'adresse IP BVI est pris en charge.

Seules les interfaces membres du groupe de ponts sont nommées et peuvent être utilisées avec des fonctionnalités basées sur l'interface.

Groupes de ponts en mode pare-feu transparent

Le trafic du groupe de ponts est isolé des autres groupes de ponts; le trafic n'est pas acheminé vers un autre groupe de ponts au sein de l'ASA, et le trafic doit quitter l'ASA avant qu'il ne soit acheminé par un routeur externe vers un autre groupe de ponts dans l'ASA. Bien que les fonctions de pontage soient distinctes pour chaque groupe de ponts, de nombreuses autres fonctions sont partagées entre tous les groupes de ponts. Par exemple, tous les groupes de ponts partagent un serveur syslog ou une configuration de serveur AAA. Pour une séparation complète des politiques de sécurité, utiliser des contextes de sécurité avec un groupe de pont dans chaque contexte.

On peut inclure plusieurs interfaces par groupe de ponts. Pour connaître le nombre exact de groupes de ponts et d'interfaces pris en charge, se reporter aux Directives pour le mode pare-feu. Lorsqu'on utilise plus de 2 interfaces par groupe de ponts, on peut contrôler la communication entre plusieurs segments sur le même réseau, et pas seulement entre l'intérieur et l'extérieur. Par exemple, si on a trois segments internes que l'on ne souhaite pas communiquer les uns avec les autres, on peut placer chaque segment sur une interface distincte et les autoriser uniquement à communiquer avec l'interface externe. On peut également personnaliser les access rules entre les interfaces pour n'autoriser que l'accès souhaité.

Interface de management

En plus de chaque adresse IP d'interface virtuelle de pont (BVI), on peut ajouter une interface slot/port de management distincte qui ne fait partie d'aucun groupe de ponts et qui autorise uniquement le trafic de gestion vers l'ASA.

Autorisation le trafic de couche 3

Le trafic Unicast IPv4 et IPv6 est automatiquement autorisé via le groupe de ponts depuis une interface de sécurité supérieure vers une interface de sécurité inférieure, sans access rule.

Pour le trafic de couche 3 allant d'une interface à sécurité faible à une interface à haute sécurité, une access rule est requise sur l'interface à faible sécurité.

Les ARP sont autorisés à travers le groupe de ponts dans les deux sens sans access rule. Le trafic ARP peut être contrôlé par inspection ARP.

Les paquets de découverte de voisin IPv6 et de sollicitation de routeur peuvent être transmis à l'aide d'access rule.

Le trafic de diffusion et de multidiffusion peut être transmis à l'aide d'access rule.

Adresses MAC autorisées

Les adresses MAC de destination suivantes sont autorisées via le groupe de ponts si la politique d'accès l'autorise. Toute adresse MAC ne figurant pas sur cette liste est supprimée.

Adresse MAC de destination de broadcast TRUE égale à FFFF.FFFF.FFFF
Adresses MAC multicast IPv4 de 0100.5E00.0000 à 0100.5EFE.FFFF
Adresses MAC multicast IPv6 de 3333.0000.0000 à 3333.FFFF.FFFF
Adresse multicast BPDU égale à 0100.0CCC.CCCD
Adresses MAC multicast AppleTalk de 0900.0700.0000 à 0900.07FF.FFFF

Manipulation BPDU

Pour éviter les boucles à l'aide du protocole Spanning Tree, les BPDU sont transmises par défaut. Pour bloquer les BPDU, il faut configurer une règle EtherType pour les refuser. L'orqu'on utilise le failovert, on peut bloquer les BPDU pour empêcher le port du commutateur de passer dans un état de blocage lorsque la topologie change.

Recherche d'adresse MAC et d'itinéraire

Pour le trafic au sein d'un groupe de ponts, l'interface sortante d'un paquet est déterminée en effectuant une recherche d'adresse MAC de destination au lieu d'une recherche d'itinéraire.

Les recherches d'itinéraire sont toutefois nécessaires dans les situations suivantes:

Trafic provenant de l'ASA - Ajouter une route par défaut/statique sur l'ASA pour le trafic destiné à un réseau distant où se trouve un serveur syslog, par exemple.
Trafic de voix sur IP (VoIP) et TFTP avec inspection activée et point final à au moins un saut - Ajouter une route statique sur l'ASA pour le trafic destiné au point final distant afin que les connexions secondaires réussissent. L'ASA crée un “trou de sécurité” temporaire dans la politique de contrôle d'accès pour permettre la connexion secondaire; et parce que la connexion peut utiliser un ensemble différent d'adresses IP que la connexion principale, l'ASA doit effectuer une recherche d'itinéraire pour installer le trou de sécurité sur l'interface correcte. Les applications concernées incluent: (CTIQBE, GTP, H.323, MGCP, RTSP, SIP, Skinny (SCCP), SQL*Net, SunRPC, TFTP)
Trafic de au moins un saut pour lequel l'ASA exécute NAT - Configurer une route statique sur l'ASA pour le trafic destiné au réseau distant. Il faut également une route statique sur le routeur en amont pour le trafic destiné aux adresses mappées à envoyer à l'ASA.
Cette exigence de routage est également vraie pour les adresses IP intégrées pour VoIP et DNS avec inspection et NAT activés, et les adresses IP intégrées sont à au moins un saut. L'ASA doit identifier l'interface de sortie correcte afin qu'il puisse effectuer la traduction.

Fonctionnalités non prises en charge pour les groupes de ponts en mode transparent

Le tableau suivant répertorie les fonctionnalités qui ne sont pas prises en charge dans les groupes de ponts en mode transparent.

Fonctionnalité	Description
DNS dynamique	-
Relais DHCP	Le pare-feu transparent peut agir comme un serveur DHCPv4, mais il ne prend pas en charge le relais DHCP. Le relais DHCP n'est pas requis car on peut autoriser le trafic DHCP à passer en utilisant deux access rule ¹⁾: une qui autorise les requêtes DCHP de l'interface interne vers l'extérieur et une qui autorise les réponses du serveur dans l'autre sens.
Protocoles de routage dynamique	On peut, cependant, ajouter des routes statiques pour le trafic provenant de l'ASA pour les interfaces de membre de groupe de pont. On peut également autoriser les protocoles de routage dynamique via l'ASA en utilisant une access rule²⁾.
Routage IP multicast	On peut autoriser le trafic de multicast via l'ASA en l'autorisant dans une access rule³⁾.
QoS	-
Terminaison VPN pour le trafic de transit	Le pare-feu transparent prend en charge les tunnels VPN de site à site pour les connexions de gestion uniquement sur les interfaces des membres du groupe de ponts. Il ne met pas fin aux connexions VPN pour le trafic via l'ASA. On peut passer le trafic VPN via l'ASA en utilisant une access rule⁴⁾, mais cela ne met pas fin aux connexions non-management. Le VPN SSL sans client n'est pas non plus pris en charge.
Communications unifiées	-

Définir le mode pare-feu

Cette section décrit comment changer le mode du pare-feu.

Avant de commencer

Lorsqu'on change de mode, l'ASA efface la configuration en cours:

Il est donc recommandé de définir le mode de pare-feu avant d'effectuer toute autre configuration
Lorsqu'on a déjà une configuration, il faut sauvegarder cette configuration avant de changer de mode; on peut utiliser cette sauvegarde comme référence lors de la création de la nouvelle configuration.
Utiliser l'interface de ligne de commande sur le port console pour changer de mode. Si on utilise tout autre type de session, y compris l'outil d'interface de ligne de commande ASDM ou SSH, on sera déconnecté lorsque la configuration est effacée et il faudra vous reconnecter à l'ASA en utilisant le port de console dans tous les cas.
Définir le mode dans le contexte.

Procédure

Pour définir le mode du pare-feu sur transparent entrer la commande:

firewall transparent

Pour changer le mode en routé, entrer la commande:

no firewall transparent

Il n'y a pas d'invitation à confirmer le changement de mode de pare-feu; le changement se produit immédiatement.

¹⁾ , ²⁾ , ³⁾ , ⁴⁾

Pour les fonctionnalités qui ne sont pas directement prises en charge sur le pare-feu transparent, On peut autoriser le trafic à passer afin que les routeurs en amont et en aval puissent prendre en charge la fonctionnalité. Par exemple, en utilisant une access rule, on peut autoriser le trafic DHCP (au lieu de la fonctionnalité de relais DHCP non prise en charge) ou le trafic de multicast tel que celui créé par IP/TV. On peut également établir des contiguïtés de protocole de routage via un pare-feu transparent; on peut autoriser le trafic OSPF, RIP, EIGRP ou BGP en fonction d'une access rule. De même, des protocoles comme HSRP ou VRRP peuvent passer par l'ASA.

Table of Contents