Recherche


imprimer pdf Français
Firewall Cisco Asa en mode transparent

DESCRIPTIF


Un firewall mis devant un serveur est paramétré en mode transparent. Il va donc filtrer tout le flux pour votre serveur à condition que vous avez créé les règles adéquates sur le firewall.

Important :

Un Firewall en mode transparent ne permet pas de faire un vpn.




Commander


Important :

Pour que votre firewall cisco asa puisse être installé il faut que le votre serveur puisse répondre au requête icmp pour a2.ovh.net (213.186.33.62).



Via le manager


Vous pouvez commander un Firewall Cisco Asa dans le manager v6 :

http://www.ovh.com/manager/dedicated/

Ensuite cliquer sur votre serveur dans la partie "Infrastructure"

Puis sur l'onglet Firewall Cisco ASA :



Puis sur "Commander un fiwall Cisco ASA :



Ensuite sélectionner le type de firewall que vous souhaitez :



Ensuite à l’étape suivante confirmer la demande.

Enfin pour régler le bon de commande cliquez sur régler :




Via l'API


Pour commander, allez sur la page de l'api :

https://api.ovh.com/console/

Authentifiez vous en haut a droite en cliquant sur login.

Puis utilisez la fonction :

GET /order/dedicated/server/{serviceName}/firewall


Avec pour paramètres :

serviceName :Le nom du serveur pour lequel vous avez commandé un Firewall
firewallModel :Le type de firewall souhaitez ( asa5505, asa5510, asa5520 ).


Exemple de retour :

[
"upto-2014-10-22"

]


Puis la fonction :

POST /order/dedicated/server/{serviceName}/firewall/{duration}


Avec en paramètres :

serviceName :Le nom du serveur pour lequel vous avez commandé un Firewall.
duration :La référence que vous avez obtenue précédemment.
firewallModel :>Le type de firewall souhaitez ( asa5505, asa5510, asa5520 ).


Exemple de retour :

{
orderId: XXXXXX
url: https://www.ovh.com/cgi-bin/order/displayOrder.cgi?orderId=XXXXXX&orderPassword=yyyy
details: [
{
domain: "ns2344357.ovh.net",
totalPrice: { … },
quantity: 1,
unitPrice: { … },
description: "Utilisation professionnelle jusqu'au 22/10/2014",
},
{
domain: "ns2344357.ovh.net",
totalPrice: { … },
quantity: 1,
unitPrice: { … },
description: "Souscription à l'Utilisation Professionnelle",
},
{
domain: "ns2344357.ovh.net",
totalPrice: { … },
quantity: 1,
unitPrice: { … },
description: "KVM IP jusqu'au 22/10/2014",
},
{
domain: "ns2344357.ovh.net",
totalPrice: { … },
quantity: 1,
unitPrice: { … },
description: "KVM IP Install",
},
{
domain: "ns2344357.ovh.net",
totalPrice: { … },
quantity: 1,
unitPrice: { … },
description: "Firewall jusqu'au 22/10/2014",
},
{
domain: "ns2344357.ovh.net",
totalPrice: { … },
quantity: 1,
unitPrice: { … },
description: "Frais d'installation du Firewall ",
},
],
contracts: [ ],
prices: { … },

}


Dans le retour vous avez le lien du bon de commande à régler.

Activer le firewall



Via le manager



Allez dans le manager v6 :

http://www.ovh.com/manager/dedicated/

Ensuite cliquer sur votre serveur dans la partie "Infrastructure"

Puis sur l'onglet Firewall Cisco ASA :



Enfin cliquez sur "Activer le Firewall ASA".



Ensuite patientez un peu et le Firewall sera activé.


Via L'API


Pour activer le firewall vérifier le status :

GET /dedicated/server/{serviceName}/features/firewall


Avec pour paramètre :

serviceName : Le nom de votre serveur qui possède le Firewall.


Exemple de retour :

{
firewall: "asa800.ovh.net"
mode: "transparent"
ip: "46.105.64.85"
model: "asa5505"
enabled: false

}


Le firewall est désactivé, actions le :

PUT /dedicated/server/{serviceName}/features/firewall


Avec en Paramètres :

serviceName :Le nom du serveur qui possède le Firewall.
firewall :Cochez enabled.



Désactiver le Firewall


Via le manager



Allez dans le manager v6 :

http://www.ovh.com/manager/dedicated/

Ensuite cliquez sur votre serveur dans la partie "Infrastructure"

Puis sur l'onglet Firewall Cisco ASA :



Enfin cliquez sur "Déactiver le Firewall Cisco ASA".



Ensuite patientez un peu et le Firewall sera désactivé.


Via L'API


Pour désactiver le firewall vérifier le status :

GET /dedicated/server/{serviceName}/features/firewall


Avec pour paramètre :

serviceName : Le nom de votre serveur qui possède le Firewall.


Exemple de retour :

{
firewall: "asa800.ovh.net"
mode: "transparent"
ip: "46.105.64.85"
model: "asa5505"
enabled: true

}


Le firewall est activé, désactivons le :

PUT /dedicated/server/{serviceName}/features/firewall


Avec en Paramètres :

serviceName :Le nom du serveur qui possède le Firewall.
firewall :Décochez enabled.


Configurer Le firewall


Via ASDM


Nous n'allons pas détailler toutes les possibilité pour configurer un Firewall Cisco Asa. Nous allons prendre pour exemple :

D'autoriser le ping pour le service monitoring OVH et de bloquer le reste.

Connectez vous à l'ASDM de votre firewall:

https://ip.de.votre.firewall

Ensuite cliquez sur Configuration :



Puis sur "Firewall"

vous aurez ceci :



network object

Lors de la création de vos règles de filtrage, vous allez spécifier des ips , pour éviter de modifier toutes les règles en cas de modification, je vous recommande d'utiliser des "Network object" et "Network object group"

pour notre ip principale créons un "Network object" :

en haut à gauche, où vous avez la liste des "Network object" et "Network object group" :

-Cliquez sur add :



-Selectionnez "Network Object"

puis vous aurez ceci :



En paramètres :

Name :Le nom que vous donnez à notre objet (dans notre exemple ip-principal).
Type :le type d'objet créé (dans notre exemple : Host ).
Ip Address :Adresse Ip dans notre cas.
Description :Mettez une description pour vous souvenir à quoi il correspond.



Network object group

Ensuite Nous allons créer un "Network object group" pour les ips du monitoring.

En haut à gauche, où vous avez la liste des "Network object" et "Network object group" :

-Cliquez sur add :



-Selectionnez "Network Object Group"

vous aurez ceci :



Un "Network object group" est un ensemble de "network object".

-Donnez un nom à votre "Network object group" (dans notre exemple : monitoring ).

-Notez que vous pouvez créer des "Network object" en même temps que vous allez inclure.

Cochez "create new Network object member" et indiquez les informations du "Network object".

-Puis cliquez sur "Add >>"

Faites le pour les IPs suivantes:

proxy.ovh.net :213.186.50.98
proxy.p19.ovh.net :213.186.45.4
proxy.rbx.ovh.net :213.251.184.9
proxy.sbg.ovh.net :37.59.0.235
proxy.bhs.ovh.net :8.33.137.2
ping.ovh.net :213.186.33.13
IP_server.250 :IP_server = aaa.bbb.ccc (L'IP de votre serveur est de la forme aaa.bbb.ccc.ddd) .
IP_server.249 :temporaire, seulement pour serveurs HG
IP_server.251 :IP pour system de monitoring.



-Enfin cliquez sur "OK"

Création des règles

Maintenant créons nos règles , Pour ceci cliquez "add" au dessus de la liste des règles et selectionnez "Add access rule".

vous aurez ceci :



en paramètres :

interfaces :outside
Action :permit
Source :La source des paquet donc le network object group monitoring
User :ne mettez rien
Destination :L'ip de notre serveur donc l'objet ip-prinicpal
Service :sélectionnez le type de service (dans notre exemple : icmp)
Description :mettez une description de la règle.
Enable Logging :Activez le fait de logguer ce qui se passe avec cette règle dans notre cas on décoche .
Logging level:niveau de log .


La règle va apparaitre en dernière position de la partie outside dans notre exemple.

-Sélectionnez la, puis cliquez sur :



enfin modifier la règle

sourcedestinationserviceaction
anyanyipPermit


pour mettre "deny" à la place de Permit

Ensuite appliquez les règles.

Voila votre serveur ne fait que répondre au ping pour le système de monitoring. La règle de rejet doit toujours être la dernière donc rajoutez vos règles au dessus de cette règle de rejet.


Via ssh


Connectez vous au Firewall avec les codes reçus.

puis tapez :

asa800> en
Password: ********
asa800#


et retapez votre mot de passe.

Pour passer en mode édition tapez la commande :

asa800# conf t
asa800(config)#



network object

Lors de la création de vos règles de filtrage, vous allez spécifier des ips , pour éviter de modifier toutes les règles en cas de modification, je vous recommande d'utiliser des "Network object" et "Network object group"

Pour créer un objet voici un exemple :

asa800(config)#object network ip-principal
asa800(config-network-object)#host aaa.bbb.ccc.ddd
asa800(config-network-object)# quit


ip-principal est le nom que vous donnez à l'objet
aaa.bbb.ccc.ddd est l'ip principal de votre serveur

Faites de même pour toutes les ips du monitoring :

proxy.ovh.net :213.186.50.98
proxy.p19.ovh.net :213.186.45.4
proxy.rbx.ovh.net :213.251.184.9
proxy.sbg.ovh.net :37.59.0.235
proxy.bhs.ovh.net :8.33.137.2
ping.ovh.net :213.186.33.13
IP_server.250 :IP_server = aaa.bbb.ccc (L'IP de votre serveur est de la forme aaa.bbb.ccc.ddd) .
IP_server.249 :temporaire, seulement pour serveurs HG
IP_server.251 :IP pour system de monitoring.




Network object group

Ensuite Nous allons créer un "Network object group" pour les ips du monitoring.

asa800(config)#object-group network Monitoring
asa800(config-network-object)#network-object object ping.ovh.net
asa800(config-network-object)#network-object object proxy.bhs.ovh.net
asa800(config-network-object)#network-object object proxy.p19.ovh.net
asa800(config-network-object)#network-object object proxy.rbx.ovh.net
asa800(config-network-object)#network-object object proxy.sbg.ovh.net
asa800(config-network-object)#network-object object ip.250
asa800(config-network-object)#network-object object ip.251
asa800(config-network-object)#network-object object ip.249
asa800(config-network-object)#quit


Monitoring est le nom que l'on donne a notre "network group object"
ping.ovh.net... sont les nom de "Network object que l'on inclus"

Création des règles

Ici nous allons modifier la règle par défaut nous allons l'enlever :

asa800(config)#no access-list outside_access_in extended permit ip any any


-Ajoutons une règle qui rejete tout :

access-list outside_access_in_1 extended deny ip any any


-Puis ajoutons notre règle pour autoriser le ping :
access-list outside_access_in_1 line 1 permit icmp object-group Monitoring object ip-principal log disable



Note :

Notez line 1 dans la règle pour préciser la position de la règle avant la règle de rejet afin qu'elle soit prise en compte.



Voila votre serveur ne fait que répondre au ping pour le système de monitoring. La règle de rejet doit toujours être la dernière donc rajoutez vos règles au dessus de cette règle de rejet.

Verifiez le bon fonctionnement puis faites :
asa800(config)# wr mem
Building configuration...
Cryptochecksum: 9c59e560 667109c5 acc16a82 a0cf952d

3935 bytes copied in 1.0 secs (3935 bytes/sec)
[OK]
asa800(config)#


Commandes ssh utiles

Pour lister toute la configuration :

show running-config


Pour lister les access-list :

show run access-list


Pour lister les "Network object":

show run object


Pour lister les "Network object group"

show run object-group