J’ai envie de PIXer…

Oui je sais, le titre de ce billet est nul :-D mais j’aurais pu faire pire, genre « Tu veux pas que je te la tienne pour aller PIXer ?… » :-)

Bon d’accord, j’adore les vannes à 2 euros ;-) (1)

A la découverte donc du Cisco PIX 515-R.

L’accès à la console se fait comme pour tout Cisco, via un câble série sur le port Console.

Pour ceux qui connaissant déjà l’IOS, ils ne seront pas perdu, c’est quasiment pareil (a part le complétement automatique qui ne marche :-( et ça, c’est très désagréable !).

pix# sh version

Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 2.0(2)

Compiled on Thu 04-Aug-05 21:40 by morlee

pix up 8 mins 30 secs

Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0×300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB

0: ethernet0: address is 0003.e300.3e9e, irq 11
1: ethernet1: address is 0003.e300.3e9f, irq 10
2: ethernet2: address is 00d0.b76b.3ab0, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 3
Maximum Interfaces: 5
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has a Restricted (R) license.

La première chose qui m’a « dérangé, c’est le fait d’avoir le 3des/aes désactivé, et effectivement, lors de ma première connexion ssh dessus, le message d’erreur fut sans appel :

ssh 192.168.1.1
Selected cipher type <unknown> not supported by server.

Résolu par un : ssh -c des admin@192.168.1.1 mais bon…

Ensuite, lors de l’accès à l’interface graphique PDM en https, Iceweasel (le Firefox des gens biens ;-) ), me jetait gentiment…

Résolu également en autorisant un niveau d’encryptage plus bas :

Taper: about:config dans la barre d’adresse et passer la valeur security.ssl3.rsa_rc4_40_md5 à true.

Cela fonctionnait mais ce niveau de cryptage me dérangeait. Un petit tour sur Google et surtout sur le riche site de Cisco aller me donner la réponse que j’attendais :

Cisco fournit gratuitement une clé d’activation de licence pour les PIX pour ceux qui le demande !!! (lire ici )

Bien sûr il faut s’enregistrer mais nul besoin d’être un client Cisco, un simple compte « Guest » suffit pour obtenir la licence. Ayant déjà un compte chez Cisco, c’était plus simple pour moi.

Une fois enregistré, allez ici : http://www.cisco.com/go/license

Tout en haut, cliquez sur : If you do not have a Product Authorization Key (PAK), please click here for available licenses.

En bas de la liste, vous trouverez le choix : Cisco PIX Security Appliance 3DES/AES License

Remplissez tout les champs (le formulaire est très… pointilleux) avec bien sur le numéro de série de votre PIX et quelques minutes plus tard, oh joie, une clé d’activation dans ma Boite aux Lettres.

Retour sur la console du PIX, passage en mode config :

pix(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.

(ne rêvez pas, c’est pas le vrai numéro hein… On est pas dans le monde des Bisounours non plus…)

Un reload du PIX et :

VPN-3DES-AES: Enabled

Mouah :-D :-D

On reconfigure ses clés :

ca gen rsa key 1024

(si le pix gueule que vous avez déjà des clés, passer la commande : ca zero rsa )

puis : ca save all

reload et voila, du 3DES au lieu d’un pauvre DES :-) (visible par un show ssh session)

PS: Bien sûr, j’ai passé outre dans mes explications le fait de configurer le hostname et le domain du PIX, ainsi que les accès sur l’interface Inside (LAN) du genre : ssh 192.168.1.52 255.255.255.255 inside (pour autoriser la machine 192.168.1.52 a accèder en ssh sur l’interface Inside).

Le PIX a trois interfaces, INSIDE (qui correspond au LAN), OUTSIDE (qui correspond au WAN ou accès au net) et DMZ pour… la DMZ ;-)

A chaque interface on définit un niveau définit par une valeur.
Le Pix interdit toute communication émanent d’une interface ayant un niveau de sécurité bas vers une interface de niveau élevé.

Il faut donc attribuer un niveau de sécurité de 0 pour l’interface connectée à Internet et un niveau de 100 pour l’interface connecter au LAN mais seulement dans le cas ou celle-ci se nomme inside.

Dans le cas contraire on est forcer de prendre une valeur de sécurité inférieur, par exemple 99.

Pour la DMZ (zone démilitarisée), on met un niveau de sécurité à 50.

Simple à comprendre et terriblement efficace.

Les ACL ressemblent à celle de l’IOS donc si vous connaissez déjà les Cisco, vous ne serez pas perdu.

Pour les autres, des centaines de tutos existent sur Internet et bien sur, je vous recommande chaudement le site de Cisco qui est une mine d’information.

(commencer la : CISCO PIX )

Une des choses que je voulais voir aussi, c’est le PDM ou Pix Device Manager, une interface web en Java qui permet de tout faire graphiquement.

Je ne suis pas un fan des trucs graphiques et pour moi, rien ne vaut la CLI, mais par curiosité, j’ai essayer.

Mon show version m’indiquait : Cisco PIX Device Manager Version 2.0(2)

J’ai donc regarder si je n’avais pas une version plus récente :

guiguiabloc@monpc:~/$ ls -lrt /mnt/lamule

Cisco Pix 6.3(5) And Pdm 3.0(4)

Parfait :-D

La mise a jour se fait comme pour un IOS, via tftp.

pix#copy tftp flash
Address or name of remote host [127.0.0.1]? 192.168.1.52
Source file name [cdisk]?pdm-304.bin
copying tftp://192.168.1.52/pdm-304.bin to flash
[yes|no|again]?yes

L’accès en https (n’oubliez pas les ACL…) et voici quelques copies d’écrans :

PDM1

PDM2

PDM3

PDM4

PDM5

PDM6

Intéressant non ?

Les possibilités sont très nombreuses et le PDM permet de vérifier vos ACL, voir même de les optimiser.

De plus, tout ce qui est config VPN, remontée de Logs, Monitoring etc… est inclus.

Je pense donc l’utiliser en plus de la CLI pour gérer ce petit bijou qu’est le PIX :-D

Ne me reste plus maintenant à savoir ou le mettre… Oui je sais ICI

(1) C’est l’histoire de deux oeufs sur une poële.
Le premier dit au deuxième : « Tu trouves pas qu’il fait chaud ? »

L’autre se met alors a crier : « AAAAh ! Un oeuf qui parle ! « 

Ok…je –>[]

 

 

Ce billet a été posté dans cisco, matériel et taggé , , . Bookmark ce permalink.

6 commentaires sur “J’ai envie de PIXer…

  1. Bonjour,
    je suis tombé sur ton blog ujn peu par hasard et plus particulièrement sur cet article qui m’interesse un peu.
    du coup j’avais quelques questions :
    je suis un novice dans l’administration de matériel cisco et je rencontre un soucis quant à l’utilisation de la pdm avec java. il semblerait que la mise à jour de cette pdm résolve mon soucis.
    Or j’ai un peu peur de mettre le bins sur un matériel qui est en production.

    Ma question est la suivante puis faire la mise à jour de celle-ci sans risque ?
    dois sauvegarder avant la conf?
    dois je utiliser le port console ou bien en cli ça marche très bien?
    as tu rencontré des soucis ou bien tout s’est t’il bien déroulé ?

    bref comme tu peux le voir pas mal de questions.

    si tu as le temps merci de me filer un petit coup de main .
    je ne manquerais pas de chanter des louanges en ton honneur sur #aduf lieu ou je passe de temps en temps.

    dans tous les cas merci et a bientôt peut être sur #aduf (pascal_1)

  2. Salut Pascal,
    Tout d’abord la règle de base est de toujours faire une mise a à jour par le port console. Si tu te « coupes » la patte, tu peux récupérer (sauf bien sur dans des cas d’administration distante ou seul la CLI est possible, a faire bien sur hors horaires de Prod).
    L’avantage du Pix est de dissocier le BIN de l’os du BIN du PDM, les risques sont donc faibles.
    Bien sur, toujours sauvegarder sa conf avant chaque modif mais si tu es en version 6.3(5), tu ne devrais avoir aucun problème (du moins pour moi, cela a été très simple et efficace).
    Aucun soucis en particulier pour ce passage de 2.0 en 3.O. que j’ai fait en console.

  3. Bonjour,

    une petite question sur le PIX :
    je possede actuellement un PIX 515E restricted et je souhaiterais rajouter une carte pour augmenter le nombre d’interface + rajouter un deuxieme boitier pour faire du failover. Qu’est ce que je dois prendre comme boitier ? exactement le meme en version fail over ? donc une carte interface supplémentaire pour lui aussi ?
    Est il possible de faire de la QOS sur ce genre de boitier ? je dois dédié 1 Mo de bande passante à une application, comment faire ? (avant je travaillais sur du Netasq, plus simple à paramétrer, notaement au niveau gestion de la bande passante).

    Merci pour tes futures réponses ! :)

    Cordialement,

    Phyrax.

  4. salut Phyrax,

    la version Restricted ne permet pas le FailOver.
    Il te faut une license UnRestricted ou FO (comme failover :-p)
    La QoS sur les pix n’est possible qu’à partir de la version 7.x, pas les 6.x

    Désolé pour les mauvaises nouvelles :-x

    (sinon pour un failover, oui, il te faut les mêmes boitiers (copie de conf, hardware identique etc…), le failover reste un clone de l’autre pour prendre la main en cas de panne)

  5. Bonjour,
    Tout d’abord bravo pour ton blog et pour cet article très intéressant.
    Je me retrouve dans le même cas que toi à savoir que je cherche à accéder en PDM sur un PIX en 6.3 qui n’a la licence DES uniquement.
    Le but ici c’est d’y arriver avec IE et sans la licence 3DES (c’est pour une formation).
    Je cherche donc la bidouille à effectuer pour arriver à rajouter le niveau d’encryption plus bas comme tu as fait dans Firefox (pour passer la valeur security.ssl3.rsa_rc4_40_md5 à true).
    Hélas le about:config sous IE ne marche pas… regedit? mais je n’ai pas trouvé le paramètre en question…
    Merci d’avance si tu as la solution!
    Cordialement,
    Olive

  6. Merci Olive,

    Désolé je ne connais pas IE (et ne veux surtout pas le connaître).