Pozn.: Vzhľadom na fyzickú nedostupnosť ASA zariadení je celá topológia realizovaná v nástroji Cisco PT 🗔. Topológia je dostupná pre stiahnutie na tomto odkaze.
Chyby v cvičení nahlasujte na ondrej.kainz@cnl.sk.
A. Topológia
- Niektoré zariadenia v topológii sú predkonfigurované, resp. čiastočne konfigurované, konkrétne smerovač R1 a ISP obláčik. Koncové zariadenia PC A, PC B a DMZ server. V sieti sa používa dynamický smerovací protokol OSPF s backbone oblasťou.
- Primárnym cieľom konfigurácie je zariadenie ASA.
B. ASA
ASA je skratka pre Adaptive Security Appliance od spoločnosti Cisco, ide o fyzické zariadenie pre rozšírené zabezpečenie siete (firewall, VPN, bezpečnostné politiky, …). V topológii v Cisco PT je použité zariadenie ASA 5506-X 🗔. ASA dokáže definovať tri typy rozhraní vnútorné, vonkajšie a DMS (angl. inside, outside). Externí používatelia majú obmedzený prístup k DMZ zóne a žiaden prístup do vnútornej zóny.
V konfigurácii sa realizuje:
- Nastavenie ASA ako základného firewall, ktorý sa pripája do internetu, vnútornej siete a DMZ siete.
- Nastavenie zabezpečeného prístupu ASDM (angl. Adaptive Security Device Manager).
- Použitie úvodného nastavenia cez wizard (tzn. základného nastavenia ASA a firewall medzi inside a outside sieťami).
- Rozširené bezpečnostné nastavenia.
- Konfigurácia DMZ.
C. Prístup na ASA konzolu
- Prístup na konzolu je podobný ako na smerovač či prepínač, použitím konzolového kábla.
- Použite notebook Admin na prístup do konzoly (Desktop / Terminal / OK).
- Po zadaní príkazu enable zadajte heslo bezpecnost123.
- Existujúcu konfiguráciu zmažte príkazom:
LabASA# write erase
- Zariadenie následne reštartujte:
LabASA# reload
System configuration has been modified. Save? [yes/no]: no
- Po reštarte by ste na reálnom zariadení boli vyzvaní, či chcete realizovať úvodné nastavenie, avšak v Cisco PT to nie je implementované. Navigujte sa do globálneho konfiguračného módu (heslo nie je konfigurované, zadajte len Enter):
ciscoasa> enable
Password:
ciscoasa# configure terminal
- Pristupovať ďalej na konzolu môžete aj priamo po kliknutí na ASA zariadenie (čast CLI).
D. Konfigurácia INSIDE a OUTSIDE rozhraní
- Ako prvé nastavíme rozhranie Gi1/2 pre internú sieť a predpripravíme ho na ASDM prístup. ASDM je aplikácia s grafickým rozhraním, ktorá umožňuje konfigurovať a monitorovať ASA. Úroveň zabezpečenia bude 100. Úrovne zabezpečenia (angl. security levels) sú od 0 po 100, hodnota 100 sa nastavuje interným (angl. inside) rozhraniam, najnižšia úroveň 0 sa nastavuje vonkajším (angl. outside) rozhraniam, v našom prípade internetu:
ciscoasa(config)# interface gi1/2
ciscoasa(config-if)# nameif INTERNA
INFO: Security level for „INTERNA“ set to 0 by default.
ciscoasa(config-if)# ip address 192.168.100.254 255.255.255.0
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# exit
ciscoasa(config)# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Virtual0 127.1.0.1 YES unset up up
GigabitEthernet1/1 unassigned YES NVRAM administratively down down
GigabitEthernet1/2 192.168.100.254 YES manual up up
…
- Nastavenie rozhrania Gi1/1 pre internet, teda vonkajšiu sieť. IP adresa bude nastavená cez ASDM:
ciscoasa(config)# interface gi1/1
ciscoasa(config-if)# nameif INTERNET
INFO: Security level for „Internet“ set to 0 by default.ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# no shutdown
- Ping z PC B (192.168.100.254) na bránu by mal byť úspešný.
E. Konfigurácia ASDM a overenie prístupu na ASA
Nastavte ASA tak, aby príjmal HTTPS spojenia na ASDM z akéhokoľvek zariadenia zo siete 192.168.100.0/24:
ciscoasa(config)# http server enable
% This version of Cisco Packet Tracer does not support this option.
ciscoasa(config)# http 192.168.100.0 255.255.255.0 INTERNA
% This version of Cisco Packet Tracer does not support this option.
Ako môžete vidieť vývojári túto možnosť do Cisco PT neimplementovali. Vývojárom posielame kyticu.
F. Pokračovanie konfigurácie OUTISDE a DMS rozhraní a hostname
Vzhľadom na nedostupnosť GUI konfigurácie, ktorá by bola samozrejme intuitívnejšia a logickejšia, ideme pokračovať v konfigurácii cez CLI.
- Na vonkajšom rozhraní Gi1/1 nastavíme IP adresu:
ciscoasa(config)# interface gi1/1
ciscoasa(config-if)# ip address 147.232.51.138 255.255.255.252
- Overíme spojenie s vedľajším smerovačom:
ciscoasa(config)# ping 147.232.51.137
- Rovnako môžeme zmeniť aj názov zariadenia na niečo krajšie, napríklad len ASA:
ciscoasa(config)# hostname ASA
- Následne nakonfigurujeme DMZ rozhranie:
ASA(config)# interface gi1/3
ASA(config-if)# nameif DMZ
INFO: Security level for „DMZ“ set to 0 by default.
ASA(config-if)# ip address 192.168.200.254 255.255.255.0
ASA(config-if)# security-level 50
ASA(config-if)# no shutdown
G. Konfigurácia hesla do privilegovaného módu a nastavenie času
- Ako heslo použijeme asaheslo. Úroveň prístupu bude 15.
ASA(config)# enable password asaheslo level 15
- Následne nastavíme čas:
ASA(config)# clock set HH:MM:SS deň mesiac rok
ASA# show clock
H. Konfigurácia DHCP
Vytvoríme DHCP servis pre internú sieť 192.168.100.0/24.
ASA(config)# dhcpd address 192.168.100.100-192.168.100.200 INTERNA
ASA(config)# dhcpd option 3 ip 192.168.100.254
ASA(config)# dhcpd enable INTERNA
Overenie, pripojte na S2 nový PC a pokúste sa vyžiadať IP adresu cez DHCP službu.
I. Konfigurácia SSH cez AAA
Prv nastavíme doménové meno, následne vytvoríme používateľa asaadmin a heslom asaheslo, s úrovňou privilégií 15. Potom aplikujeme SSH na rozhranie.
- Nastavíme doménové meno:
ASA(config)# domain-name securitylab.sk
- Vytvoríme používateľa:
ASA(config)# username asaadmin password asaheslo
Pozn.: Ako môžete vidieť, nastavenie úrovne privilégií nebolo realizované, lebo nie je implementované.
- Následne vygenerujeme kľúče pre SSH. Ak kľúče existujú, tak ich prepíšte:
ASA(config)# crypto key generate rsa modulus 2048
- Automatické odhlásenie z SSH nastavíme na 10 minút:
ASA(config)# ssh timeout 10
- Nastavíme AAA pre použitie lokálnej databázy pre prístup na SSH:
ASA(config)# aaa authentication ssh console LOCAL
- Nastavíme prístup na SSH z interného rozhrania:
ASA(config)# ssh 192.168.100.0 255.255.255.0 INTERNA
- Otestujte pripojenie na SSH z PC B. Pripojenie by malo byť funkčné.
- Pripojenie na SSH chceme poskytnúť administrátorovi aj z PC A. Nastavíme prístup aj z vonkajšieho rozhrania (Internetu) len pre PC A:
ASA(config)# ssh 147.232.49.1 255.255.255.255 INTERNET
- Otestujte pripojenie na SSH z PC A. Pripojenie nebude funkčné. Prečo?
- Zobrazte na ASA zariadení smerovaciu tabuľku:
ASA(config)# show route
…
C 147.232.0.0 255.255.255.252 is directly connected, INTERNET, GigabitEthernet1/1
C 147.232.51.136 255.255.255.252 is directly connected, INTERNET, GigabitEthernet1/1
C 192.168.100.0 255.255.255.0 is directly connected, INTERNA, GigabitEthernet1/2
ASA sa správa ako smerovač a teda nevie o vzdialených sieťach. Preto musíme nakonfigurovať dynamické alebo statické smerovanie.
J. Konfigurácia dynamického smerovacieho protokolu OSPF
V topológii už beží dynamický smerovací protokol OSPF, používa sa len area 0. Preto nakonfigurujeme OSPF aj na ASA zariadení.
ASA(config)# router ospf 1
ASA(config-router)# network 147.232.51.136 255.255.255.252 area 0
ASA(config)# show route
Všimnite si zadanú masku, nie je wildcard, ale tradičná maska.
Opäť realizujte SSH z PC A. Pripojenie by malo byť funkčné.
(nekonfigurujete) Alternatívou by bolo použitie predvolenej statickej cesty:
ASA(config)# route INTERNET 0.0.0.0 0.0.0.0 147.232.51.137
K. Konfigurácia dynamického NAT a ACL
V rámci konfigurácie NAT a ACL umožníme ICMP a TCP komunikáciu z internej siete, ktorá bude používať dynamické NAT. Potom vytvoríme dynamické NAT s povolenou ICMP a FTP komunikáciou do DMZ siete. Následne vytvoríme statické NAT pre DMZ server a povolíme HTTP komunikáciu.
- Interná sieť-Internet: Vytvoríme NAT pool ako tzv. „sieťový objekt“ s názvom ASAinterna pre IP z internej siete:
ASA(config)# object network ASAinterna
ASA(config-network-object)# subnet 192.168.100.0 255.255.255.0
Vytvoríme NAT pravidlo, ktoré definuje zdroj (Interna siet a cieľ Internet) a hovorí o použití Gi1/1 ako dynamického rozhrania, teda PAT:
ASA(config-network-object)# nat (INTERNA,INTERNET) dynamic interface
Pokúste sa o ping z PC B na PC A. Ping nebude funkčný, lebo nie je povolený z Internetu cez ASA. Pre jeho povolenie je potrebné nakonfigurovať ACL s názvom InternetIn. Povolíme ICMP protokol a TCP protokol.
ASA(config)# access-list InternetIn permit icmp any 192.168.100.0 255.255.255.0
ASA(config)# access-list InternetIn permit tcp any 192.168.100.0 255.255.255.0
Následne ACL aplikujeme na rozhranie vo vstupnom smere príkazom access-group:
ASA(config)# access-group InternetIn in interface INTERNET
Pokúste sa o ping na z PC B na PC A. Ping bude úspešný.
- DMZ-Internet: Vytvoríme NAT pool s názvom ASAdmz pre IP z DMZ siete a opakujeme podobný postup ako vyššie. Avšak, prístup do DMZ bude len pre ICMP a FTP. Pôvodný ACL len rozšírime DMZACL:
ASA(config)# object network ASAdmz
ASA(config-network-object)# subnet 192.168.200.0 255.255.255.0
ASA(config-network-object)# nat (DMZ,INTERNET) dynamic interface
ASA(config)# access-list InternetIn permit icmp any 192.168.200.0 255.255.255.0
ASA(config)# access-list InternetIn permit tcp any 192.168.200.0 255.255.255.0 eq ftp
ASA(config)# access-group InternetIn in interface INTERNET
HTTP komunikácia na DMZ server by mala byť dostupná aj z vonkajších sietí.
- DMZ Server-Internet: Vytvoríme nový objekt s názvom DMZserver:
ASA(config)# object network DMZserver
ASA(config-network-object)# host 192.168.200.1
A nastavíme statické NAT na IP adresu rozhrania Gi1/1:
ASA(config-network-object)# nat (DMZ,INTERNET) static 147.232.51.138
Následne ACL InternetIn rozšírime o povolenie HTTP prevádzky z internetu na DMZ server:
ASA(config)# access-list InternetIn permit tcp any host 192.168.200.1 eq www
Otestujte HTTP pripojenie na DMZ Server z PC A. Ako IP adresu zadávate IP adresu rozhrania Gi1/1.