Перенесення конфігурації IPS

ASA Version 8.2 (1)
!
! ім'я Cisco
hostname asa
! Домен. Потрібно для SSH
domain-name strui.ru
! Пароль для enable.
enable password 4аееoLOxxxxxxjMx encrypted
passwd k0a6sN9ExxxxxxxxzV encrypted
names
! Опис інтерфейсу, що дивиться в Internet.
interface Ethernet0 / 0
description Internet
nameif outside
security-level 0
ip address 213.xxx.xxx.194 255.255.255.240
! Опис інтерфейсу, що дивиться в локальну мережу.
interface Ethernet0 / 1
description Local
nameif inside
security-level 100
ip address 10.10.10.20 255.255.255.0
!
! Опис інтерфейсу, що дивиться в мережу серверів (DMZ)
interface Ethernet0 / 2
description DMZ
nameif dmz
security-level 50
ip address 62.xxx.xxx.177 255.255.255.240
! Цей інтерфейс вимкнений
interface Ethernet0 / 3
shutdown
no nameif
no security-level
no ip address
!Цей інтерфейс вимкнений (не прив'язаний до локальної мережі). використовувався при
! Початковому налаштуванні Cisco
interface Management0 / 0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
! Виставляємо зону і час. Необхідно для логів.
clock timezone MSK / MDD 3
clock summer-time MSK / MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
! Лист доступу в деміліторізованную зону до серверів. Вхідний трафік.
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.178 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.188 eq www
! Лист доступу для серверів з деміліторізованной зони. Вихідний трафік.
access-list acl_out_dmz extended permit tcp any any
access-list acl_out_dmz extended permit udp any any
access-list acl_out_dmz extended permit icmp any any
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
! Лист доступу для користувачів локальної мережі.
! Дозволено все для вихідного трафіку.
access-list acl_out_inside extended permit tcp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.40.0 255.255.255.0 any

! Налаштування логування
logging enable
logging timestamp
logging trap notifications
logging asdm informational
logging host inside 10.10.10.4
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500

no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

! Налаштування global
global (outside) 1 interface
! Налаштування NAT для локальної мережі
nat (inside) 1 0.0.0.0 0.0.0.0
! Налаштування static для серверів
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz, outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
! Прив'язуємо access-list через access-group до інтерфейсів.
access-group acl_in_dmz in interface outside
access-group acl_out_inside in interface inside
access-group acl_out_dmz in interface dmz
! Прописуємо маршрутизацію для інтерфейсів.
route outside 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
route inside 10.10.20.0 255.255.255.0 10.10.10.10 1
route inside 10.10.40.0 255.255.255.0 10.10.10.10 1
route inside 10.10.50.0 255.255.255.0 10.10.10.10 1
route inside 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Дозволяємо роботу через WEB морду з локальної мережі.
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
! Дозволяємо роботу telnet і ssh по локальній мережі.
telnet 10.10.10.0 255.255.255.0 inside
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 inside
ssh 10.10.10.71 255.255.255.255 inside
ssh timeout 30
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
! Сервер часу і користувач для WEB морди.
ntp server 10.10.10.3 source inside
webvpn
username admin password trAp5eVxxxxxxnv encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:
: end

Мережі\u003e Фаервол\u003e Класична авторизація користувачів. Приклад конфігурації фаервола cisco ASA5510.
Використання авторизації користувачів на фаєрволі cisco ASA для обмеження доступу до мережевих ресурсів.
Приклад настройки класичної авторизації користувачів на Cisco Secure ACS v4.0.
Класична авторизація користувачів. Приклад конфігурації фаервола cisco ASA5510.

Передмова.

Це третя частина статті, присвяченій застосуванню авторизації для вибіркового обмеження доступу користувачів до мережевих ресурсів і сервісів. Тут розглядається конфігурація фаервола ASA5510.
Схему тестової мережі дивіться в першій частині статті.
У другій частині розповідається від тому, як налаштувати Cisco Secure ACS.

Конфігурація.

Тут представлена \u200b\u200bконфігурація фаервола для прикладу, описаного в першій частині статті. Деякі рядки, які використовуються в реальній конфігурації, але не мають відношення до даного питання, тут пропущені. Рядки, що мають безпосереднє відношення до авторизації виділені жирним шрифтом. У тексті є короткі коментарі. Деякі важливі моменти більш докладно розглянуті нижче.

Hostname firewall1! ! - Список серверів - names name 192.168.1.100 FTP_server_1 name 192.168.1.101 FTP_server_2 name 192.168.1.102 TS_server name 192.168.1.103 DMZ_DB_server name 10.1.1.10 OUT_DB_server! ! interface Management0 / 0 shutdown nameif management security-level 100 management-only no ip address! interface Ethernet0 / 0 description OUT speed 100 duplex full nameif outside security-level 0 ip address 10.1.1.250 255.255.255.0 no shutdown! interface Ethernet0 / 1 description DMZ speed 100 duplex full nameif DMZ security-level 50 ip address 192.168.1.254 255.255.255.0 no shutdown! interface Ethernet0 / 2 shutdown no nameif no security-level no ip address! interface Ethernet0 / 3 shutdown no nameif no security-level no ip address! ! ! - Список мережевих груп - object-group network DMZ_net network-object 192.168.1.0 255.255.255.0 object-group network FTP_servers network-object host FTP_server_1 network-object host FTP_server_2! ! access-list OUT_IN remark *** OUT-\u003e DMZ *** access-list OUT_IN remark *** ftp traffic to FTP servers *** access-list OUT_IN extended permit tcp any object-group FTP_servers eq ftp access-list OUT_IN extended permit tcp any object-group FTP_servers eq ftp-data access-list OUT_IN remark *** RDP traffic to DMZ servers *** access-list OUT_IN extended permit tcp any object-group DMZ_net eq 3389 access-list OUT_IN remark *** DB traffic between DB servers *** access-list OUT_IN extended permit tcp host OUT_DB_server host DMZ_DB_server eq 1526 access-list OUT_IN remark *** Virtual Telnet for Authentication *** access-list OUT_IN extended permit tcp any host 10.2.2.2 eq https access-list OUT_IN extended deny ip any any log! ! access-list DMZ_IN remark *** DMZ-\u003e OUT *** access-list DMZ_IN remark *** ftp traffic from FTP servers *** access-list DMZ_IN extended permit tcp object-group FTP_servers eq ftp any access-list DMZ_IN extended permit tcp object-group FTP_servers eq ftp-data any access-list DMZ_IN remark *** RDP traffic from DMZ servers *** access-list DMZ_IN extended permit tcp object-group DMZ_net eq 3389 any access-list DMZ_IN remark *** DB traffic between DB servers *** access-list DMZ_IN extended permit tcp host DMZ_DB_server eq 1 526 host OUT_DB_server access-list DMZ_IN remark *** Virtual Telnet for Authentication *** access-list DMZ_IN extended permit tcp host 10.2.2.2 eq https any access-list DMZ_IN extended deny ip any any log! ! logging enable logging buffered informational! ! ! - NAT не використовуємо, - ! - адреси транслюються самі в себе - nat (DMZ) 0 192.168.1.0 255.255.255.0 static (outside, DMZ) 10.1.1.0 10.1.1.0 netmask 255.255.255.0! static (outside, DMZ) 10.2.2.2 10.2.2.2 netmask 255.255.255.255 ! ! access-group OUT_IN in interface outside access-group DMZ_IN in interface DMZ route outside 0.0.0.0 0.0.0.0 10.1.1.254 1 timeout xlate 4:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0 : 02: 00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00! - Визначаємо таймаут аутентифікації - timeout uauth 4:00:00 absolute ! ! ! - Вказуємо TACACS + сервер - aaa-server ACS_1 protocol tacacs + aaa-server ACS_1 (DMZ) host 192.168.1.4 key test ! ! - Для управління фаєрволом потрібно - ! - аутентифицироваться на TACACS + сервері. - ! - Якщо TACACS + сервер недоступний, - ! - можна зайти локальним користувачем. - aaa authentication serial console ACS_1 LOCAL aaa authentication enable console ACS_1 LOCAL aaa authentication ssh console ACS_1 LOCAL! ! ! ! - вимагає аутентифікації. - ! aaa authentication exclude tcp / +1526 outside DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1 ! ! ! - Говоримо, що весь вхідний ззовні трафік - ! - вимагає авторизації. - ! - Виняток для трафіку серверів БД - aaa authorization exclude tcp / 1526 outside DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1 ! ! ! - Без цього рядка WEB сторінка аутентифікації не відчиняться - aaa proxy-limit 128! ! - Без цього рядка WEB сторінка аутентифікації - ! - матиме набагато гірший вигляд - ! - Вказуємо віртуальний адреса WEB сторінки аутентифікації - virtual telnet 10.2.2.2 telnet timeout 5 ssh 10.1.1.0 255.255.255.0 outside ssh timeout 5 ssh version 2 console timeout 5! no threat-detection basic-threat no threat-detection statistics access-list ssl encryption des-sha1 rc4-md5! ! - Локальний користувач для управління - ! - фаєрволом на випадок, коли - ! - TACACS + сервер недоступний, - username admin1 password test privilege 15! !

Коментар до конфігурації.

aaa-server ACS_1 protocol tacacs +
aaa-server ACS_1 (DMZ) host 192.168.1.4
key test
Цими рядками ми говоримо фаєрвол, що AAA сервером є TACACS + сервер, вказуємо його ip адресу і ключ.

aaa authentication include ip outside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ACS_1
aaa authorization include ip outside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ACS_1
Тут говоримо, що весь трафік, що приходить на інтерфейс outside повинен пройти аутентифікацію і авторизацію.

aaa authentication exclude tcp / +1526 outside DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1
aaa authorization exclude tcp / 1526 outside DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1
Робимо виняток для трафіку серверів БД. Цей трафік повинен проходити без аутентифікації і авторизації.

Virtual Telnet

Ви, напевно, помітили, що майже половина виділених рядків пов'язана з ip адресою 10.2.2.2. Це віртуальний адреса WEB сторінки, за допомогою якої користувач проходить аутентифікацію і авторизацію. Розберемося з цим детальніше.
Коли користувач відкриває HTTP, HTTPS, FTP і Telnet сесію, що вимагає аутентифікації або авторизації, у нього в браузері або в вікні FTP або Telnet сесії з'являється запрошення для введення логіна і пароля. Коли користувач намагається відкрити сесію по іншим портам, наприклад RDP з'єднання, пропозиція для введення пароля не виникає, сесія закривається з таймаут, а в балці фаервола з'явиться запис "User must authenticate before using this service".
Перш ніж відкривати RDP сесію, користувач повинен авторизуватися на фаєрволі. Але як це зробити? Де вводити логін і пароль? Для цього і потрібен Virtual Telnet.
Незважаючи на назву, це зовсім не telnet. Це додаткова https сесія. Для користувача процес аутентифікації виглядає наступним чином:
Користувач запускає браузер і набирає в рядку адреси https://10.2.2.2.

Після підтвердження довіри сертифікату, відкриється наступне вікно. Зверніть увагу, що спочатку відкривалася сторінка з адресою 10.2.2.2. А тепер ASA перенаправила користувача на реальний ip адреса - 10.1.1.250. Детальніше про це - трохи нижче.
Для продовження треба натиснути кнопку "Log in now".

У наступному вікні треба ввести логін і пароль і натиснути кнопку "Continue".

Якщо на фаєрволі і ACS сервері все налаштовано коректно, і користувач вірно ввів логін з паролем, відкриється сторінка як на наступному малюнку.

Тепер користувач може відкривати будь-які дозволені йому з'єднання, пароль більше вводити не потрібно. Вікно браузера можна закрити. По завершенні сеансу роботи користувач може разлогініться. Для цього потрібно знову відкрити сторінку аутентифікації. Там відображається статус користувача на фаєрволі і вказано скільки часу пройшло після реєстрації (дивіться попередній малюнок). Для закриття авторизації досить натиснути logoff.
Явно разлогініваться не обов'язково. Якщо протягом певного часу все з'єднання відкриті користувачем простоюють, фаєрвол сам закриє авторизацію. Тайм аут визначається командою:
timeout uauth 4:00:00 absolute
Якщо користувач логін кілька годин тому, і тепер сумнівається действтельно чи його раніше відкрита реєстрація чи ні, він повинен відкрити сторінку аутентифікації. Там він побачить свій статус.

Для того, що б описаний механізм працював, в конфігурації фаервола повинні бути присутніми наступне рядки:
virtual telnet 10.2.2.2
Тут вказано віртуальний ip адреса сторінки аутентифікації. Саме його користувачі набирають в адресному рядку браузера. Точніше вони повинні набрати https://10.2.2.2. Https сторінка завантажується з фаервола. Для підвищення безпеки використовується не реальний ip адреса інтерфейсу фаервола, а віртуальний.
Це адреса треба вказати в декількох місцях в конфігурації фаервола. У аксес аркушах повинен бути відкритий https трафік на віртуальний адреса сторінки аутентифікації.
access-list OUT_IN extended permit tcp any host 10.2.2.2 eq https
access-list DMZ_IN extended permit tcp host 10.2.2.2 eq https any

Крім того, для цієї адреси треба явно прописати команду:
aaa authentication include https outside 10.2.2.2 255.255.255.255 0.0.0.0 0.0.0.0 ACS_1
Це треба зробити обов'язково, навіть не дивлячись на те, що є команда
aaa authentication include ip outside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ACS_1, Що покриває весь адресний простір.
Ну і останній рядок:
aaa authentication listener https outside port 1443 redirect
Вона просто покращує зовнішній вигляд WEB станиці аутентифікації. Спробуйте прибрати її з конфігурації і подивіться, що змінилося. У різних версіях ios ця команда виглядає по-різному.

Що ще подивитися?

Схему тестової мережі і загальну інформацію про авторизацію дивіться в

Cisco ASA 5510 Security Appliance відноситься до міжмережевих екранів, популярної лінійки ASA 5500. Ці пристрої гарантують високий рівень безпеки передачі даних в мережевому середовищі бізнес підприємств середнього і малого масштабного рівня. Налаштування PPPoE дозволить підтримувати також і безпечний доступ до глобальної мережі інтернет з комп'ютерів співробітників компанії.

Мережеві екрани пропонуються кінцевим користувачам зі стандартною ліцензією Base license або з розширеною ліцензією Security Plus. Останній варіант ліцензії розкриває можливість отримання нового рівня продуктивності ASA, якщо порівнювати з тими можливостями, які доступні через Base license. Якщо стандартна ліцензія дозволяє підтримувати до 50.000 з'єднань, то з придбанням Security Plus можна отримати брандмауер, який забезпечить захист 130.000 з'єднань. Також збільшено і максимальне число VLAN. Якщо раніше було доступно тільки 50, то з новою ліцензією ця кількість зростає в два рази і становить 100.

Cisco ASA 5510 володіє 5-ма портами ASA, які в базовій ліцензії можуть підтримувати тільки швидкість 10 / 100Мбит / с, а в ліцензії Security Plus вона виростає до 10/100 / 1000Мбіт / с.

Після придбання ліцензії Security Plus вона потребує активації. Для цього потрібно виконати наступні команди:

telecombookASA (config) # activation-key 0xab12cd34

telecombookASA (config) #exit

telecombookASA # copy running startup

telecombookASA # reload

Далі розглянемо приклад налаштування доступу до мережі інтернет. Надає інформаційні послуги інтернет-провайдер виділив для користувача один статичний IP-адресу 77.77.77.1. Для внутрішньої мережі буде задіяно простір 172.16.10.0/24. Для WAN використовується інтерфейс Ethernet 0/0, а для підключення пристроїв усередині мережі - інтерфейс Ethernet 0/1.

Згідно з логікою, всі пристрої внутрішньої мережевої конфігурації будуть входити в VLAN 10 і буде потрібно задіяти інтерфейс Ethernet 0 / 1.10. Настоянка ASA буде здійснюватися таким чином, щоб відбувалася автоматична роздача IP-адрес на робочі станції. Для цього буде використовуватися протокол DHCP. Проведемо налаштування NAT (PAT) для конфігурації внутрішня-зовнішня мережа.

Топологія мережі матиме такий вигляд:

Початкова настройка передбачає настройку пароля для доступу до глобальної конфігурації. Для цього використовується команда enable password MyPass, тут MyPass є паролем доступу до пристрою.

Щоб налаштувати зовнішній інтерфейс використовується команда interface Ethernet0 / 0. Ім'я задається через команду nameif outside, показник рівня безпеки security-level 0, IP адреса - ip address 77.77.77.1 255.255.255.252.

Щоб провести настройку внутрішнього інтерфейсу Ethernet0 / 1.10 і перевести його в trunc 802.1q для VLAN 10 слід реалізувати наступний блок:

telecombookASA (config-if) #no shut

telecombookASA (config) #interface Ethernet0 / 1.10

telecombookASA (config-if) #nameif inside

telecombookASA (config-if) #vlan 10

telecombookASA (config-if) # security-level 100

telecombookASA (config-if) #ip address 172.16.10.254 255.255.255.0

telecombookASA (config-if) #no shut

Налаштування PAT

telecombookASA (config) #global (outside) 1 interface

telecombookASA (config) #nat (inside) 1 172.16.0.0 255.255.0.0

Налаштування маршруту за замовчуванням:

telecombookASA (config) #route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

! * 1 - адміністративна дистанція.

Налаштування DHCP-сервера на ASA

telecombookASA (config) #dhcpd dns 88.88.88.20

telecombookASA (config) #dhcpd address 172.16.10.1-192.168.10.240 inside

telecombookASA (config) #dhcpd enable inside

Повний конфиг має наступний вигляд:

telecombookASA (config) #enable password MyPass

telecombookASA (config) #interface Ethernet0 / 0

telecombookASA (config-if) #nameif outside

telecombookASA (config-if) # security-level 0

telecombookASA (config-if) #ip address 77.77.77.1 255.255.255.252

telecombookASA (config-if) #no shut

telecombookASA (config) #interface Ethernet0 / 1

telecombookASA (config-if) #speed 100

telecombookASA (config-if) #duplex full

telecombookASA (config-if) #no nameif

telecombookASA (config-if) #no security-level

telecombookASA (config-if) #no ip address

telecombookASA (config-if) #no shut

Cisco ASA 5510 Security Appliance - міжмережевий екран Cisco, який є досить популярним серед всієї лінійки ASA серії 5500, Оскільки він призначений і застосовується для забезпечення безпеки на підприємствах малого та середнього бізнесу. Як і її молодша модель ASA 5505, 5510 можна замовити як з базової ліцензій ( Base license), Так і з ліцензією Security Plus. Ліцензія Security Plus відкриває додаткові можливості продуктивності ASA в порівнянні з базовою ліцензією, такі як брандмауер на 130.000 максимальних з'єднань (замість 50.000), максимальна кількість VLAN збільшено до 100 (замість 50), розширені можливості забезпечення відмовостійкості і т.д. Крім того, ліцензія Security Plus дозволяє двом з п'яти портів ASA працювати на швидкості 10/100 / 1000Мбіт / с, а не тільки 10 / 100Мбит / с.

Якщо ви вже придбали ліцензію, то активувати її можна виконавши наступні команди:

ASA (config) # activation-key 0xab12cd34 ASA (config) #exit ASA # copy running startup ASA # reload

Далі представлений простий сценарій доступу до мережі Інтернет, де Інтернет-провайдер надав нам зовнішній статичний IP адреса 77.77.77.1, внутрішня мережа використовує наступне адресний простір: 172.16.10.0/24. Будемо використовувати інтерфейс Ethernet0 / 0 для WAN. фізичний інтерфейс Ethernet0 / 1 буде використаний для підключення всіх внутрішніх мережевих пристроїв. Логічно, всі внутрішні пристрої мережі будуть знаходитися в VLAN 10, звідси задіємо логічний інтерфейс Ethernet0 / 1.10. Налаштуємо ASA так, щоб вона автоматично видавала IP адреси робочим станціям по протоколу DHCP. Налаштуємо NAT (PAT) в напрямку внутрішня мережа - зовнішня мережа.

Топологія мережі представлена \u200b\u200bнижче:

Перш за все, необхідно налаштувати пароль для доступу до ASA в режимі глобальної конфігурації командою enable password MyPass, де MyPass - пароль до пристрою:

ASA (config) #enable password MyPass

Для налаштування зовнішнього інтерфейсу, Необхідно набрати команду interface Ethernet0 / 0, Задати ім'я командою nameif outside, Рівень безпеки security-level 0 і IP адреса ip address 77.77.77.1 255.255.255.252.

ASA (config) #interface Ethernet0 / 0 ASA (config-if) #nameif outside ASA (config-if) # security-level 0 ASA (config-if) #ip address 77.77.77.1 255.255.255.252 ASA (config-if) #no shut

Налаштуємо внутрішній інтерфейс Ethernet0 / 1.10 і помістимо його в транк 802.1q для VLAN 10. Приклад:


ASA (config-if) #speed 100
ASA (config-if) #duplex full
ASA (config-if) #no nameif

ASA (config-if) #no ip address
ASA (config-if) #no shut
ASA (config) #interface Ethernet0 / 1.10
ASA (config-if) #nameif inside
ASA (config-if) #vlan 10


ASA (config-if) #no shut

налаштуємо PAT:

ASA (config) #global (outside) 1 interface

налаштуємо маршрут за замовчуванням:

ASA (config) #route outside 0.0.0.0 0.0.0.0 77.77.77.2 1 ! * 1 - адміністративна дистанція.

налаштуємо DHCP сервер на ASA:



Повний конфиг буде виглядати так:

ASA (config) #enable password MyPass

ASA (config) #interface Ethernet0 / 0
ASA (config-if) #nameif outside
ASA (config-if) # security-level 0
ASA (config-if) #ip address 77.77.77.1 255.255.255.252
ASA (config-if) #no shut

ASA (config) #interface Ethernet0 / 1
ASA (config-if) #speed 100
ASA (config-if) #duplex full
ASA (config-if) #no nameif
ASA (config-if) #no security-level
ASA (config-if) #no ip address
ASA (config-if) #no shut

ASA (config) #interface Ethernet0 / 1.10
ASA (config-if) #nameif inside
ASA (config-if) #vlan 10
ASA (config-if) # security-level 100
ASA (config-if) #ip address 172.16.10.254 255.255.255.0
ASA (config-if) #no shut
ASA (config) #global (outside) 1 interface
ASA (config) #nat (inside) 1 172.16.0.0 255.255.0.0

ASA (config) #route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

ASA (config) #dhcpd dns 88.88.88.20
ASA (config) #dhcpd address 172.16.10.1-192.168.10.240 inside
ASA (config) #dhcpd enable inside

Налаштовуємо SSH / TELNET / ASDM ідентифікувати себе на ASA

Базові настройки:

aaa authentication enable console LOCAL

aaa authentication http console LOCAL - без цієї команди доступ до ASDM буде вільним для кожного без логіна і пароля

aaa authentication ssh console LOCAL - необхідна для доступу по SSH, інакше не прийме введені логін і пароль, навіть якщо вони правильні

aaa authentication telnet console LOCAL - доступ через Telnet можливий тільки з боку inside інтерфейсу.

Решту необхідних команди для доступу до ASDM по http, до консолі по ssh і telnet (варіації можуть бути різними):

Http server enable http 0.0.0.0 0.0.0.0 management http 0.0.0.0 0.0.0.0 outside http 0.0.0.0 0.0.0.0 inside telnet 0.0.0.0 0.0.0.0 inside telnet 0.0.0.0 0.0.0.0 outside telnet 0.0.0.0 0.0.0.0 management telnet timeout 15 ssh 0.0.0.0 0.0.0.0 inside ssh 0.0.0.0 0.0.0.0 outside ssh 0.0.0.0 0.0.0.0 management ssh timeout 15 console timeout 0

crypto key generate rsa modulus 512 - не забудьте згенерувати ключі RSA, вони необхідні для доступу по SSH, інакше вас просто не пустить на пристрій

Доступ до ASA, через Cisco Access Control Server (ACS):

Aaa-server ACSserver protocol tacacs + aaa-server ACSserver (inside) host 172.16.10.5 key SHAREDSECRETKEY aaa authentication telnet console ACSserver LOCAL aaa authentication ssh console ACSserver LOCAL aaa authentication enable console ACSserver LOCAL aaa authentication http console ACSserver LOCAL aaa authorization exec authentication-server

TRAFFIC POLICING НА міжмережевих екранів CISCO ASA

Коротка замітка по Modular PolicyFrameworkна міжмережевих екранах Cisco ASA. Дана замітка написана щодо L3 / L4 трафіку.

Class-map - визначає тип трафіку.

Policy-map - визначає дію для типу трафіку, заданого в class-map.

Service-Policy - визначає місце застосування policy-map, Або глобально (input direction), або щодо інтерфейсу (може бути як input так і output, що вказується в policy-map).

Приклад обмеження швидкості скачування (download) і завантаження (upload) на зовнішньому інтерфейсі для HTTP 80 на ASA

(Config) # access-list HTTP permit tcp any any eq 80 (config) # access-list HTTP permit tcp any eq 80 any (config) # class-map MATCH_HTTP (config-cmap) #match access-list HTTP (config) # policy-map HTTP_RESTRICT (config-pmap) # class-map MATCH_HTTP (config-pmap-c) #police input 500000 // (500Kbits / s) (config-pmap-c) #police output 500000 // (500Kbits / s ) (config) # service-policy HTTP_RESTRICT interface outside

Стояло завдання налаштувати

для дозволу роботи серверів і користувачів локальної мережі підприємства.

сервера мають білі

(Інтернетівські типу 62.ххх) адреси і працюють через

Дані ж користувачів пропускаємо через

Сервера мають дві мережеві карти: одна - в локальній мережі, інша - Інтернет, і управляються через локальну мережу. Тому доступ з локальної мережі в DMZ не налаштований, бо не потрібен.

Зразок конфігурації даний нижче.

ASA Version 8.2 (1)

Домен. Потрібно для SSH

domain-name strui.ru

Пароль для enable.

enable password 4аееoLOxxxxxxjMx encrypted

passwd k0a6sN9ExxxxxxxxzV encrypted

Опис інтерфейсу, що дивиться в Internet

interface Ethernet0 / 0

description Internet

security-level 0

ip address 213.xxx.xxx.194 255.255.255.240

Опис інтерфейсу, що дивиться в локальну мережу

interface Ethernet0 / 1

description Local

security-level 100

ip address 10.10.10.20 255.255.255.0

Опис інтерфейсу, що дивиться в мережу серверів (DMZ)

interface Ethernet0 / 2

security-level 50

ip address 62.xxx.xxx.177 255.255.255.240

Цей інтерфейс вимкнений

interface Ethernet0 / 3

no security-level

Цей інтерфейс вимкнений (не прив'язаний до локальної мережі). використовувався при

Початковому налаштуванні Cisco

interface Management0 / 0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0

ftp mode passive

Виставляємо зону і час. Необхідно для логів.

clock timezone MSK / MDD 3

clock summer-time MSK / MDD recurring last Sun Mar 2:00 last Sun Oct 3:00

dns server-group DefaultDNS

Лист доступу в деміліторізованную зону до серверів. Вхідний трафік.

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp-data

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp-data

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.178 eq domain

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq smtp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq pop3

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq imap4

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp-data

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq domain

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq smtp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq pop3

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq imap4

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq rtsp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.188 eq www

Лист доступу для серверів з деміліторізованной зони. Вихідний трафік.

access-list acl_out_dmz extended permit tcp any any

access-list acl_out_dmz extended permit udp any any

access-list acl_out_dmz extended permit icmp any any

access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135

access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp

Лист доступу для користувачів локальної мережі.

Дозволено все для вихідного трафіку.

access-list acl_out_inside extended permit tcp 10.10.10.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.20.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.50.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.110.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.10.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.110.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.20.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.50.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.10.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.20.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.110.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.50.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.40.0 255.255.255.0 any

Налаштування логування

logging timestamp

logging trap notifications

logging asdm informational

logging host inside 10.10.10.4

mtu outside 1500

mtu management 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

Налаштування global

global (outside) 1 interface

Налаштування NAT для локальної мережі

nat (inside) 1 0.0.0.0 0.0.0.0

Налаштування static для серверів

nat (dmz) 0 0.0.0.0 0.0.0.0

static (dmz, outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255

static (dmz, outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255

Прив'язуємо access-list через access-group до інтерфейсів.

access-group acl_in_dmz in interface outside

access-group acl_out_inside in interface inside

access-group acl_out_dmz in interface dmz

Прописуємо маршрутизацію для інтерфейсів.

route outside 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1

route inside 10.10.20.0 255.255.255.0 10.10.10.10 1

route inside 10.10.40.0 255.255.255.0 10.10.10.10 1

route inside 10.10.50.0 255.255.255.0 10.10.10.10 1

route inside 10.10.110.0 255.255.255.0 10.10.10.10 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

Дозволяємо роботу через WEB морду з локальної мережі.

http server enable

http 10.10.10.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

Дозволяємо роботу telnet і ssh по локальній мережі.

telnet 10.10.10.0 255.255.255.0 inside

telnet timeout 5

ssh 10.10.10.0 255.255.255.0 inside

ssh 10.10.10.71 255.255.255.255 inside

console timeout 0

dhcpd address 192.168.1.2-192.168.1.254 management

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

Сервер часу і користувач для WEB морди.

ntp server 10.10.10.3 source inside

username admin password trAp5eVxxxxxxnv encrypted privilege 15

class-map inspection_default

match default-inspection-traffic

policy-map type inspect dns preset_dns_map

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect h323 h225

inspect h323 ras

service-policy global_policy global

prompt hostname context

Cryptochecksum:

Схожі статті
Мобільний телефон Fly FF301: огляд, технічні характеристики і відгуки Телефон флай ФФ 241Мобільний телефон Fly FF301: огляд, технічні характеристики і відгуки Телефон флай ФФ 241 Огляд Samsung Galaxy J1 Mini - надбюджетний смартфон з цікавими характеристиками Технічні характеристики samsung j1 miniОгляд Samsung Galaxy J1 Mini - надбюджетний смартфон з цікавими характеристиками Технічні характеристики samsung j1 mini Що нам стоит дом построить?Що нам стоит дом построить? Огляд Samsung Galaxy J1 mini: З мінімальними витратами Samsung j1 mini розміриОгляд Samsung Galaxy J1 mini: З мінімальними витратами Samsung j1 mini розміри