НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА CISCO ASA 5510

Cisco ASA 5510 Security Appliance — межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA в сравнении с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.

Если вы уже приобрели лицензию, то активировать ее можно выполнив следующие команды:

ASA(config)#activation-key 0xab12cd34
ASA(config)#exit
ASA#copy running startup
ASA#reload

Далее представлен простой сценарий доступа к сети Интернет, где Интернет-провайдер предоставил нам внешний статический IP адрес 77.77.77.1, внутренняя сеть использует следующее адресное пространство: 172.16.10.0/24. Будем использовать интерфейс Ethernet0/0 для WAN. Физический интерфейс Ethernet0/1 будет использован для подключения всех внутренних сетевых устройств. Логически, все внутренние устройства сети будут находиться в VLAN 10, отсюда задействуем логический интерфейс Ethernet0/1.10. Настроим ASA так, чтобы она автоматически выдавала IP адреса рабочим станциям по протоколу DHCP. Настроим NAT(PAT) в направлении внутренняя сеть – внешняя сеть.

Топология сети представлена ниже:

Прежде всего, необходимо настроить пароль для доступа к ASA в режиме глобальной конфигурации командой enable password MyPass, где MyPass — пароль к устройству:

ASA(config)#enable password MyPass

Для настройки внешнего интерфейса, необходимо набрать команду interface Ethernet0/0, задать имя командой nameif outside, уровень безопасности security-level 0 и IP адрес ip address 77.77.77.1 255.255.255.252.

ASA(config)#interface Ethernet0/0
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#ip address 77.77.77.1 255.255.255.252
ASA(config-if)#no shut

Настроим внутренний интерфейс Ethernet0/1.10 и поместим его в транк 802.1q для VLAN 10. Пример:

ASA(config)#interface Ethernet0/1
ASA(config-if)#speed 100
ASA(config-if)#duplex full
ASA(config-if)#no nameif
ASA(config-if)#no security-level
ASA(config-if)#no ip address
ASA(config-if)#no shut
ASA(config)#interface Ethernet0/1.10
ASA(config-if)#nameif inside
ASA(config-if)#vlan 10
ASA(config-if)#security-level 100
ASA(config-if)#ip address 172.16.10.254 255.255.255.0
ASA(config-if)#no shut

Настроим PAT:

ASA(config)#global (outside) 1 interface
ASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

Настроим маршрут по умолчанию:

ASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

!*1 – административная дистанция.

Настроим DHCP сервер на ASA:

ASA(config)#dhcpd dns 88.88.88.20
ASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside
ASA(config)#dhcpd enable inside

Полный конфиг будет выглядеть так:

ASA(config)#enable password MyPass

ASA(config)#interface Ethernet0/0
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#ip address 77.77.77.1 255.255.255.252
ASA(config-if)#no shut

ASA(config)#interface Ethernet0/1
ASA(config-if)#speed 100
ASA(config-if)#duplex full
ASA(config-if)#no nameif
ASA(config-if)#no security-level
ASA(config-if)#no ip address
ASA(config-if)#no shut

ASA(config)#interface Ethernet0/1.10
ASA(config-if)#nameif inside
ASA(config-if)#vlan 10
ASA(config-if)#security-level 100
ASA(config-if)#ip address 172.16.10.254 255.255.255.0
ASA(config-if)#no shut
ASA(config)#global (outside) 1 interface
ASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

ASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

ASA(config)#dhcpd dns 88.88.88.20
ASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside
ASA(config)#dhcpd enable inside

НАСТРАИВАЕМ SSH/TELNET/ASDM АУТЕНТИФИКАЦИЮ НА ASA

Базовые настройки:

aaa authentication enable console LOCAL

aaa authentication http console LOCAL — без этой команды доступ к ASDM будет свободным для каждого без логина и пароля

aaa authentication ssh console LOCAL — необходима для доступа по SSH, иначе не примет введенные логин и пароль, даже если они правильные

aaa authentication telnet console LOCAL — доступ через Telnet возможен только со стороны inside интерфейса.

Остальные необходимые команды для доступа к ASDM по http, к консоли по ssh и telnet (вариации могут быть различными):

http server enable
http 0.0.0.0 0.0.0.0 management
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 outside
telnet 0.0.0.0 0.0.0.0 management
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 15
console timeout 0

crypto key generate rsa modulus 512 — не забудьте сгенерировать ключи RSA, они необходимы для доступа по SSH, иначе вас просто не пустит на устройство

Доступ к ASA, через Cisco Access Control Server (ACS):

aaa-server ACSserver protocol tacacs+
aaa-server ACSserver (inside) host 172.16.10.5
 key SHAREDSECRETKEY
aaa authentication telnet console ACSserver LOCAL
aaa authentication ssh console ACSserver LOCAL
aaa authentication enable console ACSserver LOCAL
aaa authentication http console ACSserver LOCAL
aaa authorization exec authentication-server

TRAFFIC POLICING НА МЕЖСЕТЕВОМ ЭКРАНЕ CISCO ASA

Краткая заметка по Modular Policy Framework на межсетевых экранах Cisco ASA. Данная заметка написана относительно L3/L4 трафика.

Class-map — определяет тип трафика.

Policy-map — определяет действие для типа трафика, заданного в class-map.

Service-Policy — определяет место применения policy-map, либо глобально (input direction), либо относительно интерфейса (может быть как input так и output, что указывается в policy-map).

Пример ограничения скорости скачивания (download) и загрузки (upload) на внешнем интерфейсе для HTTP 80 на ASA

(config)#access-list HTTP permit tcp any any eq 80
(config)#access-list HTTP permit tcp any eq 80 any

(config)#class-map MATCH_HTTP
(config-cmap)#match access-list HTTP

(config)#policy-map HTTP_RESTRICT
(config-pmap)#class-map MATCH_HTTP
(config-pmap-c)#police input 500000
// (500Kbits/s)

(config-pmap-c)#police output 500000
//(500Kbits/s)

(config)#service-policy HTTP_RESTRICT interface outside

Добавить комментарий