Un Cisco ASA dans votre réseau ? Gestion de la DMZ

Maintenant que vous avez un Cisco ASA 5505 en routeur principal, il est temps d’intégrer votre serveur à sa DMZ.

L’exemple est donné avec OS X Server pour Mountain Lion qui fournis tous les services de collaboration et de partage de fichiers utiles au monde d’aujourd’hui, mais ce serait la même chose pour n’importe quel autre système. Certains services comme le partage de fichier seront à usage interne uniquement, d’autres, comme les e-mails ou les contacts et calendriers, seront accessibles depuis le web à travers une connexion utilisant TLS.

Intégration à la DMZ et accès à Internet

Gestion des ports

L’intégration d’un serveur à usage interne en DMZ est bien plus simple qu’il n’y parait. Lors de la configuration initiale, nous avions décidé que le port Ethernet 1 serait un port d’accès au VLAN de DMZ, il suffit donc de brancher notre serveur directement dessus. Si vous avez besoin de rajouter d’autres ports, cela se fait dans Configuration > Device Setup > Interfaces > Switch Ports.

Capture d’écran 2013-04-09 à 10.23.51

Dans un futur article, nous verrons comment gérer ses VLANs et les diffuser correctement sur ses switchs d’accès.

Le NAT de la DMZ vers Internet

Le NAT est actuellement configuré pour associer n’importe quelle adresse entrante sur l’interface inside avec l’adresse de l’interface outside, ce qui veut dire que nos machines en DMZ comme dans les autres VLAN ne pourront pas accéder à Internet en l’état.

Capture d’écran 2013-04-09 à 10.30.45

Nous devons ajouter une règle de NAT dynamique pour faire en sorte que le même procédé soit appliqué pour les communication arrivant de la DMZ.

Capture d’écran 2013-04-09 à 12.22.16

Cela se passe dans Configuration > Firewall > NAT Rules > Add > Add Dynamic NAT Rule.

Cette règle doit être ajoutée pour savoir comment faire paraître les communications sur Internet. Si vous disposez de plusieurs adresses IP, vous pouvez ainsi assigner certaines d’entre elles à certains serveurs ou sous-réseaux spécifiques. Une IP pour chaque serveur est une bonne idée, tout comme une IP dédiée pour le réseau invité. Cela permettra de savoir rapidement d’où vient le souci en cas de plainte.

Capture d’écran 2013-04-09 à 10.31.21

Avec cela, il faut vérifier si le firewall laisse passer les communications. C’est justement le cas ; par défaut, le système utilise des règles basées sur des numéros de zone, de 0 à 100, chaque zone est d’origine autorisée à initier une connexion vers une zone de niveau inférieur.

Votre Cisco est donc déjà prêt à accueillir vos serveurs en DMZ, il ne restera plus qu’à autoriser au niveau du firewall les services accessibles depuis l’extérieur. Il faudra également ajouter des règles de NAT pour chacun de ces services puisque vous ne disposez que d’une seule adresse IP publique.

Si votre fournisseur d’accès Internet vous considérait avec un peu plus de respect, son offre proposerait plusieurs adresses IP publiques en fonction de vos usages et du nombre de serveurs en fonction. Un minimum de deux pour la redondance de service serait cohérent par exemple. Orange Business Service le propose d’ailleurs dans leur offre SDSL et fibre, avec un véritable enregistrement au RIPE à votre nom pour les adresses qu’ils vous prêtent. Je n’ai pour le moment pas eu d’autres FAI respectant ces règles-là.

Accès au serveur en local

Le NAT

Depuis une machine interne connectée au Cisco via l’interface inside, nous ne pouvons actuellement pas nous connecter à notre serveur. En effet, les règles du service NAT permettant aux machines internes d’accéder à Internet sont prévues pour réécrire toute communication entrante sur l’interface inside avec l’adresse de l’interface outside, quelle que soit l’adresse de source et de destination.

Nous devons donc rajouter une règle d’exclusion au niveau du NAT indiquant que pour les communications arrivant sur l’interface inside et à destination du réseau DMZ, il ne doit pas y avoir de NAT.

Cela se passe dans Configuration > Firewall > NAT Rules > Add > Add NAT Exempt Rule.

Capture d’écran 2013-04-09 à 14.47.26

Une fois la règle appliquée, vous devez pouvoir accéder à votre serveur en DMZ depuis un poste interne.

Gestion des communications entrantes

Maintenant que l’interne fonctionne, il est temps de s’intéresser aux accès extérieurs. Notre serveur disposant de certains services devant être accessibles sans VPN aux utilisateurs en mobilité, nous devons autoriser certains services à être accessible directement depuis l’IP publique de notre connexion Internet.

Cela se fait en deux temps, en premier le firewall pour autoriser une connexion initiée de l’extérieur puis ensuite le NAT pour associer un port externe à une IP et un port interne.

Configuration du firewall

La configuration du firewall est assez simple, dans Configuration > Firewall > Access Rules > Add, vous ajouterez une règle disant que les communications arrivant de n’importe quel réseau à destination du port 80 (http) seront autorisées.

Capture d’écran 2013-04-09 à 16.03.20

 

Et on n’oublie pas d’appliquer.

Configuration du NAT

Comme nous sommes dans une situation où nos serveurs ne disposent pas directement d’IP publiques, nous devons composer avec le NAT pour que certaines communications adressées originellement à l’IP partagé soient redirigées vers l’un ou l’autre de nos serveurs.

Comme vous devez maintenant vous en douter, ça se passe dans Configuration > Firewall > NAT Rules > Add > Add Static NAT Rule. La règle à ajouter est assez particulière. L’idée est de dire que l’adresse 10.0.0.10 de l’interface DMZ est traduite sur l’interface externe en utilisant l’adresse même de la carte et en traduisant le port 80 en 80. De cette manière seul le port 80 arrivant sur cette interface externe sera redirigé sur notre serveur interne, laissant ainsi la possibilité de rediriger d’autres ports sur d’autres machines.

Capture d’écran 2013-04-09 à 16.07.45

 

Une fois appliqué, vous pouvez tenter une connexion de l’extérieur, tout fonctionne.

Il vous faudra répéter l’opération (pare-feu + NAT) pour chaque service à autoriser.

Laisser un commentaire