Els tallafocs Cisco ASA 5505 encara estan molt esteses. Hi ha més ocasió o recondicionades a preus interessants. Publicem per sota d’una configuració bàsica per a aquest maquinari.

Aquesta configuració assumeix un ús de l’equip en mode d’encaminament, amb una IP pública directa en un operador. Aquesta configuració té el mèrit de ser simple, operatiu i capaç de servir de base bàsica per a una configuració més avançada basada en els requisits de seguretat. Aquesta configuració també funciona, amb uns pocs canvis menors a l’ASA 5506-X.

Aquesta configuració proporciona accés a vpn anyconnect a l’equip per administrar-lo mitjançant ssh. No hem afegit, en aquesta versió bàsica, l’autenticació clau, que estarà subjecta a un post posterior.

Configuració de la configuració

LAN

  • Gestió: 192.168.77.1
  • Gateway: 192.168.22.254
  • IP pública: 19.22.25.45
  • Domini: ilatix-france.com
  • No utilitzeu el fitxer .1 a la xarxa interna (192.168.22.1) que correspon al quadre de l’operador.
  • Les màquines són el 192.168.22. X / 24

Al final de la implementació del nou tallafoc, canvieu la piscina de l’adreça IP privada per aprovar la passarel·la de l’operador el 192.168.22.1 (bitllet que es diposita a OBS)

Piscina pública

  • Subnet: 19.22.25.40 (reservat)
  • rang: 40 fins a 47
  • emissió: 47
  • router de l’operador: 46
  • Màscara: 255.255.255.248
  • DNS: 19.2.0.20, 19.2.0.50

Operador específic de la piscina privada amb la cua en un gran router central Piscina privada: 192.168 .22.1 (Adreça IP privada del router de l’operador) Lliure

Realització de la configuració: fase 1, inici de la nova ASA

Treball per configurar el nou ASA 5505

  • Connecteu-vos a l’ASA en el port sèrie OK
  • Connecteu l’ASA a la xarxa local = > assignant una adreça LAN (OK LAN i Inface Interface ) D’acord
  • Habilita ssh i scp ok
  • Fer l’inventari de versions instal·lades correcta
  • Troba noves versions al lloc web de Cisco OK
  • Instal·leu les noves versions OK
  • A continuació, poseu la configuració (filtratge, NAT) D’acord
  • VPN anyConnect Accés per administrar el router

connexió de port sèrie

Per connectar directament des de Linux amb un cable de sèrie Cisco i un adaptador serial-USB:

$sudo minicom -s

Configuració de les interfícies físiques

Activació dels dos ports interiors (port 0) i fora (port 5) i D EsiFevert Altres ports.

Ports 6 i 7 són Poe.

ISITIX-fw(config)# interface ethernet 0/0ISITIX-fw(config-if)# description outsideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/5ISITIX-fw(config-if)# description insideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/1ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/2ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/3ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/4ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/6ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/7ISITIX-fw(config-if)# shutdown

Configuració de la xarxa

name 192.168.77.2 mgt_ipname 192.168.22.254 inside_ipname 19.22.25.45 outside_ipname 19.2.0.20 operateur_dnsname 185.94.77.77 europe_pool_ntp_orgname 192.168.22.0 inside_lanname 19.22.25.46 operateur_router

Configuració de les interfícies VLAN

Configuració de VLAN, 1 per a administració, 2 per a LAN i 9 per WAN

Afegeix ports a la dreta VLANS

interface ethernet 0/0switchport mode accessswitchport access vlan 9interface ethernet 0/5switchport mode accessswitchport access vlan 2

nom d’amfitrió, domini, temps

Configuració general del Parefeu

hostname ISITIX-fwdomain-name ISITIX-france.comclock timezone CET 1clock summer-time CEST recurringdns domain-lookup insidename 19.2.0.20 operateur_dnsdns name-server operateur_dnsname 185.94.77.77 europe_pool_ntp_orgntp server europe_pool_ntp_orgaaa authentication enable console LOCAL

Comprovació de temps

show ntp associationsshow clockshow ntp status

Desactivació de la trucada intel·ligent Inici

clear config call-home no service call-home

Autenticació de l’usuari basada en locals amb PWD (bàsic)

user-identity default-domain LOCALaaa authentication enable console LOCAL

Habilitació ssh i scp

ssh version 2ssl server-version tlsv1-onlyssl client-version tlsv1-onlyssh scopy enablecrypto key generate rsa modulus 2048write memoryaaa authentication ssh console LOCALusername admin password XXXXXX privilege 15ssh timeout 15ssh inside_lan 255.255.255.0 inside

Actualització de firmware

Fase 2 de la configuració de l’ASA: NAT, encaminament, filtrat

Objectes de xarxa

Afegint objectes de xarxa per a possibles LCD

object network WAN_NETWORK subnet 19.22.25.40 255.255.255.248object network LAN_IP host 192.168.22.254object network WAN_IP host 19.22.25.45object network operateur_ROUTER host 19.22.25.46object network LAN_NETWORK subnet 192.168.22.0 255.255.255.0

carretera per defecte

route outside 0 0 operateur_router 1

gossa LAN a wan

object network LAN_NETWORK nat (inside,outside) dynamic interface

LAN Filtratge sortint de ACL

Definició de la llista de serveis

object-group service dns service-object tcp-udp destination eq domain object-group service https service-object tcp destination eq https object-group service http service-object tcp destination eq www service-object tcp destination eq 8080 service-object tcp destination eq 8008 object-group service pop service-object tcp destination eq pop3 service-object tcp destination eq 995 object-group service smtp service-object tcp destination eq smtp service-object tcp destination eq 465 object-group service rtmp service-object tcp-udp destination eq 1935 service-object tcp destination eq 8134 service-object tcp destination eq 1111 object-group service ssh service-object tcp destination eq ssh object-group service google-play service-object tcp destination eq 5228 service-object tcp destination eq 5229 service-object tcp destination eq 5320 service-object udp destination eq 5228 object-group service teamviewer service-object tcp-udp destination eq 5938object-group service spotify service-object tcp destination eq 4070 object-group service imap service-object tcp destination eq imap4 service-object tcp destination eq 993 object-group service ping service-object icmp traceroute service-object icmp echo service-object icmp alternate-address service-object icmp mask-request service-object icmp redirect service-object icmp object-group service telnet service-object tcp destination eq telnet object-group service ntp service-object tcp-udp destination eq 123 object-group service vpn service-object udp destination eq isakmp service-object udp destination eq 1701 service-object tcp destination eq pptp object-group service ftp service-object tcp destination eq ftp service-object tcp destination eq ftp-data

Consolidació de serveis En un conjunt de serveis autoritzats:

object-group service service_enabled group-object https group-object http group-object pop group-object smtp group-object rtmp group-object ssh group-object google-play group-object teamviewer group-object spotify group-object imap group-object ping group-object telnet group-object ntp group-object vpn

Afegeix d’ACL per controlar el trànsit

access-list inside_in_acl extended permit object-group service_enabled object LAN_NETWORK any access-list inside_in_acl extended permit ip object LAN_NETWORK any log access-group inside_in_acl in interface inside

Inspecció del trànsit

Afegint una política global (també permet el pas del TRAFC ICMP / PING)

icmp unreachable rate-limit 1 burst-size 1icmp permit any echo insideicmp permit any echo-reply insideclass-map global_map match default-inspection-trafficpolicy-map global_policy class global_map inspect icmp inspect dns inspect ftp inspect h323 h225 inspect h323 ras inspect http inspect sip inspect snmp inspect ipsec-pass-thru inspect ip-options inspect pptp inspect esmtpservice-policy global_policy global

detecció de Amenaces bàsiques

Escaneig i altres

threat-detection basic-threatthreat-detection statistics access-listthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

Spoofing

ip verify reverse-path interface insideip verify reverse-path interface outside

Fase 3: Accés AnyConnect Admin

Objectiu: Ser capaç de gestionar l’ASA a SSH en un túnel VPN.

Nota: ja que només només hi ha un grup de polítiques i un grup de polítiques Túnel de grup únic, tot va bé i caurem en els valors predeterminats. En cas contrari, hi hauria un mapatge per fer entre el client, el nom d’usuari i els altres paràmetres.

Definició de la piscina d’adreça i subxarxa

ip local pool VPN_POOL 192.168.22.193-192.168.22.198 mask 255.255.255.0object network VPN_NETWORK subnet 192.168.22.192 255.255.255.248

Definició de l’ACL per al trànsit dividit al client

Modificació de la NAT

Per desactivar el NAT a la piscina de l’adreça VPN

nat (outside,inside) source static VPN_NETWORK VPN_NETWORK destination static LAN_NETWORK LAN_NETWORK no-proxy-arpnat (inside,outside) source static LAN_NETWORK LAN_NETWORK destination static VPN_NETWORK VPN_NETWORK no-proxy-arp

AnyConnect Activation

tunnel-group VPNTunnelGroup type remote-accesstunnel-group VPNTunnelGroup general-attributes default-group-policy VPNGroupPolicytunnel-group VPNTunnelGroup webvpn-attributes group-alias ANYCONNECT-VPN enable

i adjuntant la política al túnel:

group-policy VPNGroupPolicy attributes group-lock value VPNTunnelGroup

Afegir un usuari

username ISITIXanyconnect password XXXXXX/eq encryptedusername ISITIXanyconnect attributes service-type remote-access

Activació de la SSH a l’ASA des de VPN

filtratge de trànsit per limitar l’accés A la SSH a la IP interna de l’ASA Nota:

És interessant provar que tot funciona bé abans d’afegir aquestes regles de filtratge addicional.

access-list FilterVPN extended permit object-group ssh object VPN_NETWORK object LAN_IP log group-policy VPNGroupPolicy attributes vpn-filter value FilterVPN

Connexió física

corda entre el FW i el quadre su r 0/0 o 0/3 (dades), 0/1 o 0/2 per a telefonia

Leave a comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *