pix# sh version<\/p>\n
Cisco PIX Firewall Version 6.3(5)
\nCisco PIX Device Manager Version 2.0(2)<\/p>\n
Compiled on Thu 04-Aug-05 21:40 by morlee<\/p>\n
pix up 8 mins 30 secs<\/p>\n
Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz
\nFlash i28F640J5 @ 0x300, 16MB
\nBIOS Flash AT29C257 @ 0xfffd8000, 32KB<\/p>\n
0: ethernet0: address is 0003.e300.3e9e, irq 11
\n1: ethernet1: address is 0003.e300.3e9f, irq 10
\n2: ethernet2: address is 00d0.b76b.3ab0, irq 9
\nLicensed Features:
\nFailover: Disabled
\nVPN-DES: Enabled
\nVPN-3DES-AES: Disabled
\nMaximum Physical Interfaces: 3
\nMaximum Interfaces: 5
\nCut-through Proxy: Enabled
\nGuards: Enabled
\nURL-filtering: Enabled
\nInside Hosts: Unlimited
\nThroughput: Unlimited
\nIKE peers: Unlimited<\/p>\n
This PIX has a Restricted (R) license.<\/p>\n
La premi\u00e8re chose qui m’a \u00ab\u00a0d\u00e9rang\u00e9, c’est le fait d’avoir le 3des\/aes d\u00e9sactiv\u00e9, et effectivement, lors de ma premi\u00e8re connexion ssh dessus, le message d’erreur fut sans appel :<\/p>\n
ssh 192.168.1.1
\nSelected cipher type <unknown> not supported by server.<\/p>\n
R\u00e9solu par un : ssh -c des admin@192.168.1.1 mais bon…<\/p>\n
Ensuite, lors de l’acc\u00e8s \u00e0 l’interface graphique PDM en https, Iceweasel (le Firefox des gens biens \ud83d\ude09 ), me jetait gentiment…<\/p>\n
R\u00e9solu \u00e9galement en autorisant un niveau d’encryptage plus bas :<\/p>\n
Taper: about:config dans la barre d’adresse et passer la valeur security.ssl3.rsa_rc4_40_md5 \u00e0 true.<\/p>\n
Cela fonctionnait mais ce niveau de cryptage me d\u00e9rangeait. Un petit tour sur Google et surtout sur le riche site de Cisco aller me donner la r\u00e9ponse que j’attendais :<\/p>\n
Cisco fournit gratuitement une cl\u00e9 d’activation de licence pour les PIX pour ceux qui le demande !!! (lire ici<\/a> )<\/p>\n Bien s\u00fbr il faut s’enregistrer mais nul besoin d’\u00eatre un client Cisco, un simple compte \u00ab\u00a0Guest\u00a0\u00bb suffit pour obtenir la licence. Ayant d\u00e9j\u00e0 un compte chez Cisco, c’\u00e9tait plus simple pour moi.<\/p>\n Une fois enregistr\u00e9, allez ici : <\/span>http:\/\/www.cisco.com\/go\/license<\/span><\/a><\/p>\n Tout en haut, cliquez sur : If you do not have a Product Authorization Key (PAK), please click here for available licenses<\/strong><\/a>.<\/strong><\/p>\n En bas de la liste, vous trouverez le choix : Cisco PIX Security Appliance 3DES\/AES License<\/a><\/p>\n Remplissez tout les champs (le formulaire est tr\u00e8s… pointilleux) avec bien sur le num\u00e9ro de s\u00e9rie de votre PIX et quelques minutes plus tard, oh joie, une cl\u00e9 d’activation dans ma Boite aux Lettres.<\/p>\n Retour sur la console du PIX, passage en mode config :<\/p>\n <\/span><\/p>\n (ne r\u00eavez pas, c’est pas le vrai num\u00e9ro hein… On est pas dans le monde des Bisounours<\/a> non plus…)<\/p>\n Un reload du PIX et :<\/p>\n VPN-3DES-AES: Enabled<\/p>\n Mouah \ud83d\ude00 \ud83d\ude00<\/p>\n On reconfigure ses cl\u00e9s :<\/p>\n ca gen rsa key 1024<\/p>\n (si le pix gueule que vous avez d\u00e9j\u00e0 des cl\u00e9s, passer la commande : ca zero rsa<\/span> )<\/p>\n puis : ca save all<\/p>\n reload et voila, du 3DES au lieu d’un pauvre DES \ud83d\ude42 (visible par un show ssh session)<\/p>\n PS: Bien s\u00fbr, j’ai pass\u00e9 outre dans mes explications le fait de configurer le hostname et le domain du PIX, ainsi que les acc\u00e8s sur l’interface Inside (LAN) du genre : ssh 192.168.1.52 255.255.255.255 inside (pour autoriser la machine 192.168.1.52 a acc\u00e8der en ssh sur l’interface Inside).<\/p>\n Le PIX a trois interfaces, INSIDE (qui correspond au LAN), OUTSIDE (qui correspond au WAN ou acc\u00e8s au net) et DMZ pour… la DMZ \ud83d\ude09<\/p>\n A chaque interface on d\u00e9finit un niveau d\u00e9finit par une valeur. Il faut donc attribuer un niveau de s\u00e9curit\u00e9 de 0 pour l’interface connect\u00e9e \u00e0 Internet et un niveau de 100 pour l’interface connecter au LAN mais seulement dans le cas ou celle-ci se nomme inside.<\/p>\n Dans le cas contraire on est forcer de prendre une valeur de s\u00e9curit\u00e9 inf\u00e9rieur, par exemple 99.<\/p>\n Pour la DMZ (zone d\u00e9militaris\u00e9e), on met un niveau de s\u00e9curit\u00e9 \u00e0 50.<\/p>\n Simple \u00e0 comprendre et terriblement efficace.<\/p>\n Les ACL ressemblent \u00e0 celle de l’IOS donc si vous connaissez d\u00e9j\u00e0 les Cisco, vous ne serez pas perdu.<\/p>\n Pour les autres, des centaines de tutos existent sur Internet et bien sur, je vous recommande chaudement le site de Cisco qui est une mine d’information.<\/p>\n (commencer la : CISCO PIX<\/a><\/a> )<\/p>\n Une des choses que je voulais voir aussi, c’est le PDM ou Pix Device Manager, une interface web en Java qui permet de tout faire graphiquement.<\/p>\n Je ne suis pas un fan des trucs graphiques et pour moi, rien ne vaut la CLI<\/a>, mais par curiosit\u00e9, j’ai essayer.<\/p>\n Mon show version m’indiquait : Cisco PIX Device Manager Version 2.0(2)<\/p>\n J’ai donc regarder si je n’avais pas une version plus r\u00e9cente :<\/p>\n guiguiabloc@monpc:~\/$ ls -lrt \/mnt\/lamule<\/p>\n Cisco Pix 6.3(5) And Pdm 3.0(4)<\/p>\n Parfait \ud83d\ude00<\/p>\n La mise a jour se fait comme pour un IOS, via tftp.<\/p>\n <\/span><\/p>\n L’acc\u00e8s en https (n’oubliez pas les ACL…) et voici quelques copies d’\u00e9crans :<\/p>\n Int\u00e9ressant non ?<\/p>\n Les possibilit\u00e9s sont tr\u00e8s nombreuses et le PDM permet de v\u00e9rifier vos ACL, voir m\u00eame de les optimiser.<\/p>\n De plus, tout ce qui est config VPN, remont\u00e9e de Logs, Monitoring etc… est inclus.<\/p>\n Je pense donc l’utiliser en plus de la CLI pour g\u00e9rer ce petit bijou qu’est le PIX \ud83d\ude00<\/p>\n Ne me reste plus maintenant \u00e0 savoir ou le mettre… Oui je sais ICI<\/a><\/p>\n (1) C\u2019est l\u2019histoire de deux oeufs sur une po\u00eble. L\u2019autre se met alors a crier : \u00ab\u00a0AAAAh ! Un oeuf qui parle ! \u00ab\u00a0<\/p>\n Ok…je –>[]<\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Oui je sais, le titre de ce billet est nul \ud83d\ude00 mais j’aurais pu faire pire, genre \u00ab\u00a0Tu veux pas que je te la tienne pour aller PIXer ?…\u00a0\u00bb \ud83d\ude42 Bon d’accord, j’adore les vannes \u00e0 2 euros \ud83d\ude09 (1) … Read More pix(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302<\/strong>\r\nUpdating flash...Done.<\/pre>\n
\nLe Pix interdit toute communication \u00e9manent d’une interface ayant un niveau de s\u00e9curit\u00e9 bas vers une interface de niveau \u00e9lev\u00e9.<\/p>\npix#copy tftp flash<\/strong>\r\nAddress or name of remote host [127.0.0.1]? 192.168.1.52<\/strong>\r\nSource file name [cdisk]?pdm-304.bin<\/strong>\r\ncopying tftp:\/\/192.168.1.52\/pdm-304.bin to flash\r\n[yes|no|again]?yes<\/strong><\/pre>\n
![\"PDM1\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/pixdevicemanager1.thumbnail.jpg\")
<\/a><\/p>\n![\"PDM2\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/pixdevicemanager2.thumbnail.jpg\")
<\/a><\/p>\n![\"PDM3\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/pixdevicemanager3.thumbnail.jpg\")
<\/a><\/p>\n![\"PDM4\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/pixdevicemanager4.thumbnail.jpg\")
<\/a><\/p>\n![\"PDM5\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/pixdevicemanager5.thumbnail.jpg\")
<\/a><\/p>\n![\"PDM6\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/pixdevicemanager6.thumbnail.jpg\")
<\/a><\/p>\n
\nLe premier dit au deuxi\u00e8me : \u00ab\u00a0Tu trouves pas qu\u2019il fait chaud ?\u00a0\u00bb<\/p>\n