Un Cisco ASA dans votre réseau ? Configuration initiale

Ceux qui me suivent savent que mon objectif est de fournir aux TPE et PME des solutions techniques performantes et abordables leur permettant de profiter des dernières avancées dans le domaine des technologies de l’information. Cet objectif est d’autant plus important que les TPE et PME sont généralement les entreprises les plus demandeuses d’avancées dans ce domaine.

OS X Server est un bon produit qui, avec un Mac mini Server allant de 1000 à 2000 €, offre une solution réellement abordable de serveur de collaboration et de gestion de système d’information. Pour être exploité à son plein potentiel, il a besoin d’un réseau également performant, que ce soit au niveau des switchs ou du routeur ayant à charge la liaison entre  le réseau de l’entreprise et Internet.

C’est dans cette optique que je vous propose une série d’articles de prise en main d’un produit que j’affectionne tout particulièrement, le Cisco ASA 5505, un produit peu cher et qui vous apportera toutes les fonctionnalités nécessaires à la construction d’un bon réseau, et évolutif de surcroît.

Ceux qui ont déjà approché un Cisco savent que l’administration se fait généralement en ligne de commande, via un port console, et c’est vrai. Cependant, l’ASA 5505 dispose également d’une interface d’administration en Java qui simplifie grandement la tâche. Aussi je tacherais dans mes articles de rester le plus possible dans l’usage de cette interface et ne passerait en ligne de commande que plus tard.

Les licences

La première chose qui fait peur quand on cherche à acheter un Cisco, ce sont les licences. En effet, les produits Cisco sont vendus avec certaines fonctionnalités activables par licences, c’est la règle dans les équipements réseau haut de gamme, les fabriquant fournissent un matériel standard avec une limite haute de capacité définie par le matériel et le découpent en sous-fonctions limitées par le logiciel pour proposer un panel de prix et des options d’évolution plus adaptées à la cible.

Avec cela il y a également l’accès aux mises à jour de l’OS de l’équipement, lui aussi sous condition de contrat de service. Si vous voulez pouvoir mettre à jour votre équipement, il faut avoir un contrat de service vous autorisant à télécharger les mises à jour. Le seul cas où vous pouvez l’éviter, c’est dans les 90 jours suivant l’achat, une période de grâce est donnée pour accéder gratuitement aux mises à jour.

Comme vous le voyez, le cheminement des licences sur un produit Cisco est complexe, c’est pour cela que je vous recommande de ne surtout pas acheter vos équipements chez un revendeur générique comme LDLC ou votre revendeur informatique habituel. En effet, ces revendeurs ne connaissent tout simplement pas les systèmes de licences Cisco et vous mettront dans une situation inconfortable avec leurs non-respects des procédures Cisco. Ainsi j’ai acheté un Cisco ASA 5505 chez LDLC Pro que je n’ai actuellement pas pu mettre à jour, l’ayant reçu début avril 2013 alors qu’il est sorti du stock pour Cisco en novembre 2012, je suis donc hors de la période de 90 jours et LDLC ne comprend rien au problème, j’attends toujours une réponse de leur part… Dans le même domaine, la description du nombre de licences indiqué par LDLC ne correspond tout simplement pas au produit reçu…

En somme, achetez vos produits Cisco chez un revendeur agréé.

Plan de bataille

Acheter un Cisco pour faire joli devant les clients c’est bien, prévoir une topologie réseau propice à son usage c’est mieux.

La première nécessité est d’avoir un véritable fournisseur d’accès à Internet, quelqu’un qui ne vous imposera pas son routeur foireux en tête de réseau et vous laissera utiliser votre beau Cisco. Cela veut dire que vous oubliez tout simplement les incompétents d’Orange et Orange Pro. En effet, les LiveBox et LiveBox Pro ne peuvent être mis en mode pont pour vous laisser utiliser votre routeur, et pour peu que vous ayez une fibre optique, vous ne pouvez mettre un modem à vous derrière, les informations de connexion au GPON d’Orange n’étant pas publiques. Si vous souhaitez quand même travailler avec Orange, il vous faudra vous tourner vers Orange Business Services, autrement les OVH Nerim et autre se feront un plaisir de vous proposer leurs offres ADSL, SDSL et fibre. L’important étant de leur préciser que vous utiliserez votre propre routeur et que donc leur solution doit fournir un service d’Internet sur Ethernet avec éventuellement une authentification PPPoE.

Une fois le problème d’Internet géré, il vous faudra prévoir votre plan de réseau local. L’idée est de segmenter votre réseau en zone ayant des niveaux de sécurité différents. De prime abord, un réseau peut être très simplement découpé en trois grandes zones :

  • Internet ;
  • vos serveurs accessibles depuis Internet ;
  • vos machines locales.

Ce découpage permet de mettre en avant trois classes de flux :

  • vos machines locales → Internet ;
  • vos machines locales → vos serveurs ;
  • Internet → vos serveurs.

Mais Internet ne peut accéder à vos machines locales tout comme votre serveur. Cela permet une chose très simple, si vos serveurs offrant des services accessibles à distance (e-mail, calendrier, contacts, services web…) viennent à être piraté via une faille sur l’un des logiciels qu’ils exploitent, les attaquants ne pourront se servir de votre serveur comme point de pivot pour atteindre vos machines et serveurs internes.

Mes serveurs internes ? Oui. L’idée dans ce type de topologie est d’avoir plusieurs niveaux d’accès pour vos serveurs et donc un minimum de trois serveurs aux usages bien distincts.

Le premier serveur sera pour les services accessibles depuis Internet sans autre mesure, c’est un serveur ayant à charge des services d’extranet et sera placé dans une zone démilitarisée, une DMZ.  Le troisième serveur quant à lui aura la charge des services d’intranet tels que le partage de fichiers ou l’hébergement de wiki à usage interne. La seule possibilité pour que ce serveur soit accessible de l’extérieur, ce sera à travers un VPN. Quant au troisième, il est optionnel, son rôle est la gestion interne du parc, il héberge votre OpenDirectory ainsi que vos outils de gestion tels que DeployStudio, GLPI, etc. C’est le seul du lot qui peut éventuellement être amené à se connecter directement aux machines, il se doit donc d’être réellement sécurisé, et pour cela rien de mieux qu’une interdiction formelle pour ce serveur d’être accessible depuis Internet.

Yoann, t’es gentil, mais on vient de passer un Cisco et un Mac mini à un Cisco, trois Mac mini et une boite d’aspirine… Certes, ici nous sommes dans l’objectif d’un réseau sécurisé sans trop de prise de tête, rien ne vous impose de tout faire d’un coup. Il vous est tout à fait possible de ne travailler avec un seul serveur dans un premier temps, le second de ma liste, accessible en VPN uniquement voire avec quelques règles de NAT pour un accès via Internet sur des services réellement fiables comme les e-mails. Dans un second temps vous rajouterez un serveur en DMZ et migrerez les services adéquats et enfin, vous rajouterez un serveur interne de gestion de parc si sa taille la demande.

Du coup, pour qu’un réseau puisse évoluer il faut le prévoir dès le début. Pour cela il faut travailler correctement avec les plages IP et les services DNS. Vos plages IP doivent présenter une structure logique permettant l’évolution et l’ajout de classe. De même, vos conventions de nommage doivent prendre en compte ce qui est de l’extranet ou de l’intranet.

Pour permettre de structurer les réseaux d’aujourd’hui, switch et routeur supportent ce que l’on nomme des VLAN, des réseaux virtuels. Le but est de découper un swtich de 48 ports en plusieurs entités logiques isolé les unes des autres. Chaque VLAN dispose d’un identifiant qu’il peut être intéressant de normaliser dans votre déploiement et de refléter sur vos plages IP.

Une solution type, pas parfaite, mais simple à mettre en place, et qui présente le moins de risque de blocage pour l’avenir serait celle-ci : pour créer votre réseau, prenez la base d’adressage suivante : 10.site_id.vlan_id.machine.

Qu’est-ce que cela veut dire ? Chaque variable peut être remplacée par une valeur allant de 0 à 255 (sauf la dernière, pour faire simple on dira qu’elle n’accepte que les valeurs allant de 1 à 254).

  • site_id : le numéro de site géographique, aujourd’hui vous n’avez peut être qu’un bureau, mais que faire lorsque demain vous vous étendrez et souhaiterez relier les deux sites ? Par habitude je n’utilise pas l’ID 0 que je réserve à un éventuel hébergement en DataCenter.
  • vlan_id : les identifiants de VLAN vont de 1 à 4095, vous avez de la marge. Vous pouvez par exemple ajoutez un 1 devant la valeur de l’adresse pour définir votre VLAN, ce qui donnerait pour la valeur 42 le VLAN 142.
  • machine : l’adresse qui aura été attribuée à la machine. Bien que ce champ accepte des valeurs de 1 à 254, vous pouvez décider de réserver certaines plages à des usages spécifiques

Une configuration type serait donc :

  • Site A : 10.0
    • DMZ : 10.0.0
      • Routeur : 10.0.0.1
      • Élément réseau : 10.0.0.2-9
      • Machine à IP fixe : 10.0.0.10-199
      • Élément réseau : 10.0.0.200-254
    • Intranet : 10.0.1
      • Routeur : 10.0.1.1
      • Élément réseau : 10.0.1.2-9
      • Machine à IP fixe : 10.0.1.10-199
      • Élément réseau : 10.0.1.200-254
    • Gestion informatique : 10.0.10
      • Routeur : 10.0.10.1
      • Élément réseau : 10.0.10.2-9
      • Machine à IP fixe : 10.0.10.10-199
      • Élément réseau : 10.0.10.200-254
    • Réseau Administratif : 10.0.20
      • Routeur : 10.0.20.1
      • Élément réseau : 10.0.20.2-9
      • Machine à IP fixe : 10.0.20.10-49
      • Machine à IP dynamique : 10.0.20.50-199
      • Élément réseau : 10.0.20.200-254
    • Réseau Atelier : 10.0.30
      • Routeur : 10.0.30.1
      • Élément réseau : 10.0.30.2-9
      • Machine à IP fixe : 10.0.30.10-49
      • Machine à IP dynamique : 10.0.30.50-199
      • Élément réseau : 10.0.30.200-254
    • Réseau WiFi : 10.0.40
      • Routeur : 10.0.40.1
      • Élément réseau : 10.0.40.2-9
      • Machine à IP fixe : 10.0.40.10-49
      • Machine à IP dynamique : 10.0.40.50-199
      • Élément réseau : 10.0.40.200-254
  • Site B : 10.1
    • DMZ : 10.1.0
      • Routeur : 10.1.0.1
      • Élément réseau : 10.1.0.2-9
      • Machine à IP fixe : 10.1.0.10-199
      • Élément réseau : 10.1.0.200-254
    • Intranet : 10.1.1
      • Routeur : 10.1.1.1
      • Élément réseau : 10.1.1.2-9
      • Machine à IP fixe : 10.1.1.10-199
      • Élément réseau : 10.1.1.200-254
    • Gestion informatique : 10.1.10
      • Routeur : 10.1.10.1
      • Élément réseau : 10.1.10.2-9
      • Machine à IP fixe : 10.1.10.10-199
      • Élément réseau : 10.1.10.200-254
    • Réseau Administratif : 10.1.20
      • Routeur : 10.1.20.1
      • Élément réseau : 10.1.20.2-9
      • Machine à IP fixe : 10.1.20.10-49
      • Machine à IP dynamique : 10.1.20.50-199
      • Élément réseau : 10.1.20.200-254
    • Réseau Atelier : 10.1.30
      • Routeur : 10.1.30.1
      • Élément réseau : 10.1.30.2-9
      • Machine à IP fixe : 10.1.30.10-49
      • Machine à IP dynamique : 10.1.30.50-199
      • Élément réseau : 10.1.30.200-254
    • Réseau WiFi : 10.1.40
      • Routeur : 10.1.40.1
      • Élément réseau : 10.1.40.2-9
      • Machine à IP fixe : 10.1.40.10-49
      • Machine à IP dynamique : 10.1.40.50-199
      • Élément réseau : 10.1.40.200-254

Les autres adresses étant réservées à un usage futur.

Mise en œuvre

Note : certaine anciennes version des outils d’administration Cisco ne sont pas compatible avec Java 7, si c’est votre cas, il vous faudra réinstaller Java 6 pour Mac puis suivre cette procédure pour le réactiver. Ensuite, l’application devra être lancé via la commande javaws /chemin/vers//startup.jnlp.

Votre Cisco dispose d’une configuration d’usine pas mal, mais ne collant pas à notre objectif, nous allons donc devoir revoir tout ça.

Côté branchement, l’ASA 5505 dispose de 8 ports Ethernet, trois ports USB et un port console. Ce port console, en bleu est destiné à l’administration en ligne de commande de l’équipement, vous ne devez pas brancher de câble réseau dessus. Du coté des 8 ports Ethernet, trois sont particulier, comme indiqué les ports 6 et 7 sont prévus pour fournir du PoE, pour alimenter des bornes d’accès par exemple. L’autre port particulier, c’est le 0, configuré par défaut pour recevoir votre accès Internet, vous y brancherez donc l’arrivée de votre fournisseur d’accès à Internet.

Les autres ports étant libres, j’ai pour habitude de partir du plus haut, le 5, pour connecter mon poste d’administration, laissant ainsi les prises 1 à 4 disponible pour être dédié à certains VLAN comme la DMZ que je placerais en port 1.

Une fois branché sur votre routeur, vous recevrez normalement une adresse en 192.168.1.x, le routeur étant lui même 192.168.1.1.

Pour accéder à l’outil d’administration, vous vous connecterez donc à l’adresse https://192.168.1.1/

Capture d’écran 2013-04-06 à 16.49.28

Choisissez de lancer l’assistant (bouton de droite). Deux demandes d’acceptation de certificats seront à accepter avant de pouvoir vous authentifier sur le routeur.

Capture d’écran 2013-04-06 à 16.51.06 Capture d’écran 2013-04-06 à 16.51.12

Capture d’écran 2013-04-06 à 16.51.17

Côté authentification, il n’y a pas de mot de passe par défaut, vous avez juste à cliquer sur OK. Une fois lancé, il se peut que votre ASA vous demande si vous souhaitez activer le « Cisco Smart Call Home », le système de reporting d’usage de Cisco, à vous de voir.

Capture d’écran 2013-04-08 à 09.21.29

Si vous avez bien choisi le mode assistant, vous arriverez en premier lieu sur une page vous demandant si vous souhaitez changer la configuration actuelle ou recommencer de zéro. Nous allons choisir la seconde option pour que le Cisco dispose d’une configuration de base fonctionnelle sur le pool d’adresses nous intéressant. Nous modifierons ensuite cette configuration.

Capture d’écran 2013-04-08 à 09.21.35

 

En choisissant cette option, ASDM vous avertit de la perte de connectivité possible avec le routeur, il faudra forcer l’application à se fermer pour la relancer sur la nouvelle IP.

Capture d’écran 2013-04-08 à 09.22.14

 

Attendez quelques instants sur l’indicateur de travail puis fermé manuellement l’application sans autre mesure.

Capture d’écran 2013-04-06 à 16.58.35

Débranchez et rebranchez votre câble réseau pour obtenir une adresse sur le nouveau groupe d’adresse et connectez-vous à https://10.0.1.1/ pour lancer de nouveau l’assistant en choisissant cette fois la première option.

Capture d’écran 2013-04-06 à 16.59.00

La première étape vous demandera de choisir le nom de votre équipement et celui de votre zone DNS ainsi qu’un mot de passe à utiliser à l’avenir pour accéder à votre interface d’administration.

Capture d’écran 2013-04-06 à 16.59.02

Puis l’on vous demandera quel type de configuration réseau vous souhaitez. Un VLAN pour Internet, pour l’intranet, pour la DMZ… Pour les gouverner tous

La configuration globale par défaut est acceptable, mais si vous souhaitez personnaliser votre numéro de VLAN, vous pouvez le faire.

Capture d’écran 2013-04-06 à 16.59.11

Les trois VLAN de base étant actifs, il faut assigner les ports du Cisco y étant assigné, un pour Internet, un pour la DMZ et le reste pour l’intranet.

Capture d’écran 2013-04-06 à 16.59.34

Vient maintenant la configuration des adresses IP pour chaque interface en accord avec le plan réseau précédemment écrit.

Capture d’écran 2013-04-06 à 17.00.24

Si votre interface Internet nécessite une authentification PPPoE et que vous choisissez bien cette option, la page suivante vous demandera d’entrer les informations de connexions fournies par votre opérateur.

Capture d’écran 2013-04-06 à 19.07.52

Ensuite, pour l’intranet, votre configuration DHCP avec, en toute logique, votre serveur interne en serveur DNS. Si vous n’êtes pas sur, mettez ceux de votre FAI.

La zone DMZ elle n’a pas de DHCP, les serveurs étant censés être configurés en IP fixe.

Capture d’écran 2013-04-06 à 17.00.27

Concernant l’accès à Internet, plusieurs options sont possibles, sauf si vous disposez de votre propre plage IP, vous n’aurez besoin que de l’option par défaut, le PAT avec l’IP configuré automatiquement sur l’interface externe.

Capture d’écran 2013-04-06 à 17.00.42

Derniers panneaux avant la fin, quelles adresses IP auront le droit d’accéder à l’outil d’administration de votre routeur. Faites bien attention, si vous ne modifiez pas cette option vous devrez passer par un câble console pour reconfigurer votre équipement.

Capture d’écran 2013-04-06 à 17.00.52

Une ultime étape de vérification de vos réglages et l’assistant se charge ensuite d’enregistrer votre configuration sur l’équipement.

Capture d’écran 2013-04-06 à 17.02.10

À la fin de la barre de progression, votre équipement est configuré et vous arrivez sur la fenêtre principale de l’application.

Pour arriver directement sur cette application et non l’assistant les prochaines fois, connectez-vous sur https://10.0.1.1/ et utilisez le bouton de gauche pour télécharger le fichier de lancement de l’outil d’administration.

Notes : avec ma version non à jour de ASDM, le fichier de lancement de l’outil d’admin ne fonctionne pas, alors que l’assistant qui lance le même outil fonctionne lui. J’ai résolu le souci en modifiant le fichier asdm.jnlp, qui n’est qu’un XML. L’important est la section « resources » qui doit ressembler à ceci :

  <resources>
    <j2se version="1.6+" initial-heap-size="64m" max-heap-size="256m"/>
    <jar href="dm-launcher.jar" main="true" download="eager"/>
    <jar href="lzma.jar" download="eager"/>
    <jar href="jploader.jar" download="eager"/>
    <jar href="retroweaver-rt-2.0.jar" download="eager"/>
    <property name="http.agent" value="ASDM/"/>
  </resources>

À son lancement, l’outil vous annoncera les mêmes alertes de sécurité que précédemment. Vous pouvez enregistrer le certificat en question pour ne plus être dérangé.

Concernant l’authentification, laissez l’identifiant vide et saisissez le mot de passe que vous avez choisi.

Vous voilà sur la page de monitoring de votre routeur. Au programme, informations de version, de licences, suivit du trafic réseau, accès possible aux logs en temps réel, etc.

Capture d’écran 2013-04-06 à 19.11.43

Vérifications d’usage

Avant de décréter le travail d’un assistant comme valide, il est bon de se livrer à quelques vérifications, elles permettront de vérifier que rien n’a été oublié et permettront également de faire quelques réglages de dernières minutes.

Adresse des interfaces

Les adresses des interfaces se gèrent dans l’onglet Configuration > Device Setup > Interfaces. La seule interface particulière étant l’outside qui reçoit l’adresse que vous fournit votre opérateur Internet.

Capture d’écran 2013-04-08 à 10.00.45

Faites entre autres attention que la route par défaut soit bien obtenue de votre opérateur Internet, sans quoi vous n’accèderez pas à Internet.

Capture d’écran 2013-04-08 à 10.04.22

 DHCP

La configuration du DHCP et de ses nombreuses options se passe dans Configuration > Device Manager > DHCP > DHCP Server. En toute logique seule l’interface interne dispose de configuration DHCP actuellement.

Capture d’écran 2013-04-08 à 10.07.36

Vous pouvez l’éditer pour ajouter les options supplémentaires comme les serveurs NTP ou encore les serveurs TFTP pour les téléphones IP.

NAT

Le NAT est nécessaire au partage de l’unique adresse IPv4 dont est pourvu votre ligne Internet, sans ce service il serait impossible de connecter plusieurs machines sur votre accès Internet. Heureusement, IPv6 arrivant nous aurons bientôt plus besoin de ces bêtises.

Capture d’écran 2013-04-08 à 10.10.58

La gestion du NAT se fait dans Configuration > Firewall > NAT Rules. Par défaut vous n’avez qu’une seule règle en application, pour les communications sortantes, elle indique que toutes les communications seront traduites avec l’adresse configurée sur l’interface externe, et cela restera comme cela tant que vous n’ajouterez pas de règles entrantes pour l’hébergement de services accessible depuis l’extérieur.

Gestion du Firewall

Pour gérer votre firewall, vous allez devoir vous rendre dans Configuration > Firewall > Access Rules. À partir de là, vous aurez différentes sections pour chaque sens de communications.

Le Firewall du Cisco ASA 5505 est ce qu’on nome un Firewall Zone Based, si vous avez fait attention depuis le début, vous vous serez aperçu qu’un niveau de zone fut configuré pour chaque zone, 100 pour inside, 50 pour dmz et 0 pour outside. L’idée est simple, chaque zone peut communiquer avec les zones de niveau inférieur, l’inverse n’est pas possible, sauf en réponse à une communication établie.

À vous de définir vos règles entre zones.

Inspection de protocole

Si en l’état vous essayez de faire un ping d’une IP sur Internet vous verrez que cela ne passe pas, pour autant, le telnet ou même HTTP fonctionne sous condition d’avoir votre DNS bien configuré. La raison est simple, pour que le firewall autorise les communications retour d’un protocole X ou Y il doit avoir autorisé les communications sortantes. Une communication TCP standard utilise un seul canal pour l’aller et le retour, c’est le cas de HTTP. Cependant, certains protocoles comme FTP ou ICMP n’utilisent pas les mêmes canaux ou n’utilisent tout simplement pas TCP. Le Cisco devra donc surveiller les paquets de ces types de protocoles pour les noter dans une table d’état et savoir si oui ou non un paquet retour est autorisé. Pour cela il faut donc que votre ASA s’acquitte d’une tâche assez lourde, ouvrir chaque paquet de chaque communication pour en analyser le type et regarder sa configuration pour savoir si ce paquet doit être suivi ou non.

La liste des protocoles inspectés se gère dans Configuration > Firewall > Service Policy Rules. Différentes polices peuvent être réglées, dans la plupart des cas vous n’aurez qu’à éditer la globale pour ajouter vos protocoles et voir les existants. Par exemple, éditez « inspection_default » pour rajouter dans la liste des actions, l’inspection d’ICMP et du PPTP (si vous souhaitez pouvoir vous connecter à un service VPN externe depuis votre réseau).

Capture d’écran 2013-04-08 à 11.36.19

Vous pouvez maintenant effectuer un ping et vous connecter à un VPN.

NTP

Une dernière chose obligatoire si on souhaite avoir des logs compréhensibles, les réglages de l’horloge interne via un serveur de temps. Cela se passe dans Configuration > Device Setup > System Time > NTP.

Capture d’écran 2013-04-08 à 13.36.01

Et juste avant, dans Clock, vous pourrez configurer votre fuseau horaire.

Conseils pour la route

À ce moment, votre équipement est fonctionnel et prêt à accueillir vos postes clients. L’intégration d’un serveur Mac en DMZ se fera dans un second article.

Si vous souhaitez jouer avec votre routeur d’ici là, sachez simplement une chose, lorsqu’une commande est envoyée à un routeur Cisco elle est appliquée directement, mais elle n’est pas sauvegardée dans le fichier de démarrage. Aussi, si en suivant cet article vous n’avez jamais cliqué sur le bouton sauvegarder dans votre outil d’administration, tous vos réglages seront perdus au prochain redémarrage. Si cette manière de faire est très pratique pour éviter d’être bloquée suite à une mauvaise commande, elle peut donner lieu à quelques surprises lorsqu’on y pense plus… Alors, n’oubliez pas de sauvegarder quand vous avez validé le fonctionnement de vos modifications !

Capture d’écran 2013-04-06 à 19.25.47

Laisser un commentaire