J’ai envie de PIXer…

Oui je sais, le titre de ce billet est nul 😀 mais j’aurais pu faire pire, genre « Tu veux pas que je te la tienne pour aller PIXer ?… » 🙂

Bon d’accord, j’adore les vannes Ă  2 euros 😉 (1)

A la découverte donc du Cisco PIX 515-R.

L’accĂšs Ă  la console se fait comme pour tout Cisco, via un cĂąble sĂ©rie sur le port Console.

Pour ceux qui connaissant dĂ©jĂ  l’IOS, ils ne seront pas perdu, c’est quasiment pareil (a part le complĂ©tement automatique qui ne marche 🙁 et ça, c’est trĂšs dĂ©sagrĂ©able !).

pix# sh version

Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 2.0(2)

Compiled on Thu 04-Aug-05 21:40 by morlee

pix up 8 mins 30 secs

Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB

0: ethernet0: address is 0003.e300.3e9e, irq 11
1: ethernet1: address is 0003.e300.3e9f, irq 10
2: ethernet2: address is 00d0.b76b.3ab0, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 3
Maximum Interfaces: 5
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has a Restricted (R) license.

La premiĂšre chose qui m’a « dĂ©rangĂ©, c’est le fait d’avoir le 3des/aes dĂ©sactivĂ©, et effectivement, lors de ma premiĂšre connexion ssh dessus, le message d’erreur fut sans appel :

ssh 192.168.1.1
Selected cipher type <unknown> not supported by server.

RĂ©solu par un : ssh -c des admin@192.168.1.1 mais bon…

Ensuite, lors de l’accĂšs Ă  l’interface graphique PDM en https, Iceweasel (le Firefox des gens biens 😉 ), me jetait gentiment…

RĂ©solu Ă©galement en autorisant un niveau d’encryptage plus bas :

Taper: about:config dans la barre d’adresse et passer la valeur security.ssl3.rsa_rc4_40_md5 Ă  true.

Cela fonctionnait mais ce niveau de cryptage me dĂ©rangeait. Un petit tour sur Google et surtout sur le riche site de Cisco aller me donner la rĂ©ponse que j’attendais :

Cisco fournit gratuitement une clĂ© d’activation de licence pour les PIX pour ceux qui le demande !!! (lire ici )

Bien sĂ»r il faut s’enregistrer mais nul besoin d’ĂȘtre un client Cisco, un simple compte « Guest » suffit pour obtenir la licence. Ayant dĂ©jĂ  un compte chez Cisco, c’Ă©tait plus simple pour moi.

Une fois enregistré, allez ici : http://www.cisco.com/go/license

Tout en haut, cliquez sur : If you do not have a Product Authorization Key (PAK), please click here for available licenses.

En bas de la liste, vous trouverez le choix : Cisco PIX Security Appliance 3DES/AES License

Remplissez tout les champs (le formulaire est trĂšs… pointilleux) avec bien sur le numĂ©ro de sĂ©rie de votre PIX et quelques minutes plus tard, oh joie, une clĂ© d’activation dans ma Boite aux Lettres.

Retour sur la console du PIX, passage en mode config :

pix(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.

(ne rĂȘvez pas, c’est pas le vrai numĂ©ro hein… On est pas dans le monde des Bisounours non plus…)

Un reload du PIX et :

VPN-3DES-AES: Enabled

Mouah 😀 😀

On reconfigure ses clés :

ca gen rsa key 1024

(si le pix gueule que vous avez déjà des clés, passer la commande : ca zero rsa )

puis : ca save all

reload et voila, du 3DES au lieu d’un pauvre DES 🙂 (visible par un show ssh session)

PS: Bien sĂ»r, j’ai passĂ© outre dans mes explications le fait de configurer le hostname et le domain du PIX, ainsi que les accĂšs sur l’interface Inside (LAN) du genre : ssh 192.168.1.52 255.255.255.255 inside (pour autoriser la machine 192.168.1.52 a accĂšder en ssh sur l’interface Inside).

Le PIX a trois interfaces, INSIDE (qui correspond au LAN), OUTSIDE (qui correspond au WAN ou accĂšs au net) et DMZ pour… la DMZ 😉

A chaque interface on définit un niveau définit par une valeur.
Le Pix interdit toute communication Ă©manent d’une interface ayant un niveau de sĂ©curitĂ© bas vers une interface de niveau Ă©levĂ©.

Il faut donc attribuer un niveau de sĂ©curitĂ© de 0 pour l’interface connectĂ©e Ă  Internet et un niveau de 100 pour l’interface connecter au LAN mais seulement dans le cas ou celle-ci se nomme inside.

Dans le cas contraire on est forcer de prendre une valeur de sécurité inférieur, par exemple 99.

Pour la DMZ (zone démilitarisée), on met un niveau de sécurité à 50.

Simple Ă  comprendre et terriblement efficace.

Les ACL ressemblent Ă  celle de l’IOS donc si vous connaissez dĂ©jĂ  les Cisco, vous ne serez pas perdu.

Pour les autres, des centaines de tutos existent sur Internet et bien sur, je vous recommande chaudement le site de Cisco qui est une mine d’information.

(commencer la : CISCO PIX )

Une des choses que je voulais voir aussi, c’est le PDM ou Pix Device Manager, une interface web en Java qui permet de tout faire graphiquement.

Je ne suis pas un fan des trucs graphiques et pour moi, rien ne vaut la CLI, mais par curiositĂ©, j’ai essayer.

Mon show version m’indiquait : Cisco PIX Device Manager Version 2.0(2)

J’ai donc regarder si je n’avais pas une version plus rĂ©cente :

guiguiabloc@monpc:~/$ ls -lrt /mnt/lamule

Cisco Pix 6.3(5) And Pdm 3.0(4)

Parfait 😀

La mise a jour se fait comme pour un IOS, via tftp.

pix#copy tftp flash
Address or name of remote host [127.0.0.1]? 192.168.1.52
Source file name [cdisk]?pdm-304.bin
copying tftp://192.168.1.52/pdm-304.bin to flash
[yes|no|again]?yes

L’accĂšs en https (n’oubliez pas les ACL…) et voici quelques copies d’Ă©crans :

PDM1

PDM2

PDM3

PDM4

PDM5

PDM6

Intéressant non ?

Les possibilitĂ©s sont trĂšs nombreuses et le PDM permet de vĂ©rifier vos ACL, voir mĂȘme de les optimiser.

De plus, tout ce qui est config VPN, remontĂ©e de Logs, Monitoring etc… est inclus.

Je pense donc l’utiliser en plus de la CLI pour gĂ©rer ce petit bijou qu’est le PIX 😀

Ne me reste plus maintenant Ă  savoir ou le mettre… Oui je sais ICI

(1) C’est l’histoire de deux oeufs sur une poĂ«le.
Le premier dit au deuxiĂšme : « Tu trouves pas qu’il fait chaud ? »

L’autre se met alors a crier : « AAAAh ! Un oeuf qui parle ! « 

Ok…je –>[]

 

 

Ce billet a été posté dans cisco, matĂ©riel et taggé , , . Bookmark ce permalink.

6 commentaires sur “J’ai envie de PIXer…

  1. Bonjour,
    je suis tombĂ© sur ton blog ujn peu par hasard et plus particuliĂšrement sur cet article qui m’interesse un peu.
    du coup j’avais quelques questions :
    je suis un novice dans l’administration de matĂ©riel cisco et je rencontre un soucis quant Ă  l’utilisation de la pdm avec java. il semblerait que la mise Ă  jour de cette pdm rĂ©solve mon soucis.
    Or j’ai un peu peur de mettre le bins sur un matĂ©riel qui est en production.

    Ma question est la suivante puis faire la mise Ă  jour de celle-ci sans risque ?
    dois sauvegarder avant la conf?
    dois je utiliser le port console ou bien en cli ça marche trÚs bien?
    as tu rencontrĂ© des soucis ou bien tout s’est t’il bien dĂ©roulĂ© ?

    bref comme tu peux le voir pas mal de questions.

    si tu as le temps merci de me filer un petit coup de main .
    je ne manquerais pas de chanter des louanges en ton honneur sur #aduf lieu ou je passe de temps en temps.

    dans tous les cas merci et a bientĂŽt peut ĂȘtre sur #aduf (pascal_1)

  2. Salut Pascal,
    Tout d’abord la rĂšgle de base est de toujours faire une mise a Ă  jour par le port console. Si tu te « coupes » la patte, tu peux rĂ©cupĂ©rer (sauf bien sur dans des cas d’administration distante ou seul la CLI est possible, a faire bien sur hors horaires de Prod).
    L’avantage du Pix est de dissocier le BIN de l’os du BIN du PDM, les risques sont donc faibles.
    Bien sur, toujours sauvegarder sa conf avant chaque modif mais si tu es en version 6.3(5), tu ne devrais avoir aucun problÚme (du moins pour moi, cela a été trÚs simple et efficace).
    Aucun soucis en particulier pour ce passage de 2.0 en 3.O. que j’ai fait en console.

  3. Bonjour,

    une petite question sur le PIX :
    je possede actuellement un PIX 515E restricted et je souhaiterais rajouter une carte pour augmenter le nombre d’interface + rajouter un deuxieme boitier pour faire du failover. Qu’est ce que je dois prendre comme boitier ? exactement le meme en version fail over ? donc une carte interface supplĂ©mentaire pour lui aussi ?
    Est il possible de faire de la QOS sur ce genre de boitier ? je dois dédié 1 Mo de bande passante à une application, comment faire ? (avant je travaillais sur du Netasq, plus simple à paramétrer, notaement au niveau gestion de la bande passante).

    Merci pour tes futures rĂ©ponses ! 🙂

    Cordialement,

    Phyrax.

  4. salut Phyrax,

    la version Restricted ne permet pas le FailOver.
    Il te faut une license UnRestricted ou FO (comme failover :-p)
    La QoS sur les pix n’est possible qu’Ă  partir de la version 7.x, pas les 6.x

    DĂ©solĂ© pour les mauvaises nouvelles 😡

    (sinon pour un failover, oui, il te faut les mĂȘmes boitiers (copie de conf, hardware identique etc…), le failover reste un clone de l’autre pour prendre la main en cas de panne)

  5. Bonjour,
    Tout d’abord bravo pour ton blog et pour cet article trĂšs intĂ©ressant.
    Je me retrouve dans le mĂȘme cas que toi Ă  savoir que je cherche Ă  accĂ©der en PDM sur un PIX en 6.3 qui n’a la licence DES uniquement.
    Le but ici c’est d’y arriver avec IE et sans la licence 3DES (c’est pour une formation).
    Je cherche donc la bidouille Ă  effectuer pour arriver Ă  rajouter le niveau d’encryption plus bas comme tu as fait dans Firefox (pour passer la valeur security.ssl3.rsa_rc4_40_md5 Ă  true).
    HĂ©las le about:config sous IE ne marche pas… regedit? mais je n’ai pas trouvĂ© le paramĂštre en question…
    Merci d’avance si tu as la solution!
    Cordialement,
    Olive

  6. Merci Olive,

    Désolé je ne connais pas IE (et ne veux surtout pas le connaßtre).