Os firewalls Cisco ASA 5505 aínda están moi estendidos. Hai máis ocasión ou recondicionado a prezos interesantes. Publicamos por baixo dunha configuración básica para este hardware.

Esta configuración asume un uso do equipo no modo de enrutamento, cun IP público directo nun operador. Esta configuración ten o mérito de ser sinxelo, operativo e capaz de servir de base básica para unha configuración máis avanzada baseada nos requisitos de seguridade. Esta configuración tamén funciona, con algúns cambios menores na ASA 5506-X.

Esta configuración proporciona acceso a VPN anyconnect para o equipo para administrala a través de SSH. Non engadimos, nesta versión básica, a autenticación clave, que estará suxeita a unha publicación posterior.

Configurar a configuración

LAN

  • Xestión: 192.168.77.1
  • Gateway: 192.168.22.254
  • Public IP: 19.22.25.45
  • Domain: ilatix-france.com
  • Non use o .1 na rede interna (192.168.22.1) que corresponde á caixa do operador.
  • As máquinas están en 192.168.22. X / 24

Ao final da implementación do novo firewall, cambie a piscina de enderezos IP privada para aprobar a pasarela do operador en 192.168.22.1 (billete a depositar en OBS)

piscina pública

  • Subnet: 19.22.25.40 (reservado)
  • Rango: 40 ata 47
  • emitida: 47
  • Router operador: 46
  • Máscara: 255.255.255.248
  • DNS: 19.2.0.20, 19.2.0.50

Operador específico de piscina privada con cola nun gran roteador central Piscina privada: 192.168 .22.1 (Enderezo IP privado do enrutador do operador) GRATIS

Realización da configuración: Fase 1, Start of the New ASA

Worktop para configurar a nova ASA 5505

  • Conéctate á ASA en Serial Port Aceptar
  • Conecte a ASA á rede local = > asignando un enderezo LAN (Aceptar LAN e INTEFACE Interface ) OK
  • Activar SSH e SCP OK
  • Fai o inventario das versións instaladas OK
  • Buscar novas versións no sitio web de Cisco OK
  • Instalar as novas versións Aceptar
  • A continuación, poñer a configuración (filtrado, NAT) OK
  • VPN Anyconnect Access para administrar o enrutador

Conexión de porto serie serie

Para conectarse directamente desde Linux cun cable de serie Cisco e un adaptador de serie-USB:

$sudo minicom -s

Configurar as interfaces físicas

Activación dos dous portos dentro (porto 0) e fóra (porto 5) e D Esiveverting outros portos.

Os portos 6 e 7 son poe.

ISITIX-fw(config)# interface ethernet 0/0ISITIX-fw(config-if)# description outsideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/5ISITIX-fw(config-if)# description insideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/1ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/2ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/3ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/4ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/6ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/7ISITIX-fw(config-if)# shutdown

Configuración Configuración da rede

name 192.168.77.2 mgt_ipname 192.168.22.254 inside_ipname 19.22.25.45 outside_ipname 19.2.0.20 operateur_dnsname 185.94.77.77 europe_pool_ntp_orgname 192.168.22.0 inside_lanname 19.22.25.46 operateur_router

Configuración de interfaces VLAN

Configuración de VLANS, 1 para administración, 2 para LAN e 9 para WAN

interface Vlan1 management-only nameif management security-level 100 ip address mgt_ip 255.255.255.0 !interface Vlan2 description inside nameif inside security-level 99 ip address inside_ip 255.255.255.0 !interface Vlan9 description outside nameif outside security-level 0 ip address outside_ip 255.255.255.248

Engadir portos na dereita VLAN

interface ethernet 0/0switchport mode accessswitchport access vlan 9interface ethernet 0/5switchport mode accessswitchport access vlan 2

nome de servidor, dominio, hora

Configuración xeral do parefeu

hostname ISITIX-fwdomain-name ISITIX-france.comclock timezone CET 1clock summer-time CEST recurringdns domain-lookup insidename 19.2.0.20 operateur_dnsdns name-server operateur_dnsname 185.94.77.77 europe_pool_ntp_orgntp server europe_pool_ntp_orgaaa authentication enable console LOCAL

Comprobación de tempo

show ntp associationsshow clockshow ntp status

desactivación da casa de chamadas intelixentes

clear config call-home no service call-home

Autenticación de usuario baseada no local con PWD (BASIC)

user-identity default-domain LOCALaaa authentication enable console LOCAL

Activar SSH e SCP

IV id = “

Actualización de firmware

Linux$scp asa924-k8.bin Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.:disk0:/asa924-k8.binboot system disk0:/asa924-k8.bin

Fase 2 da configuración ASA: Nat, enrutamento, filtrado

Obxectos de rede

Engadir obxectos de rede para posibles LCD

object network WAN_NETWORK subnet 19.22.25.40 255.255.255.248object network LAN_IP host 192.168.22.254object network WAN_IP host 19.22.25.45object network operateur_ROUTER host 19.22.25.46object network LAN_NETWORK subnet 192.168.22.0 255.255.255.0

estrada predeterminada

route outside 0 0 operateur_router 1

lan bitch para wan

object network LAN_NETWORK nat (inside,outside) dynamic interface

LAN Filtro de saída por ACL

Definición da lista de servizos

object-group service dns service-object tcp-udp destination eq domain object-group service https service-object tcp destination eq https object-group service http service-object tcp destination eq www service-object tcp destination eq 8080 service-object tcp destination eq 8008 object-group service pop service-object tcp destination eq pop3 service-object tcp destination eq 995 object-group service smtp service-object tcp destination eq smtp service-object tcp destination eq 465 object-group service rtmp service-object tcp-udp destination eq 1935 service-object tcp destination eq 8134 service-object tcp destination eq 1111 object-group service ssh service-object tcp destination eq ssh object-group service google-play service-object tcp destination eq 5228 service-object tcp destination eq 5229 service-object tcp destination eq 5320 service-object udp destination eq 5228 object-group service teamviewer service-object tcp-udp destination eq 5938object-group service spotify service-object tcp destination eq 4070 object-group service imap service-object tcp destination eq imap4 service-object tcp destination eq 993 object-group service ping service-object icmp traceroute service-object icmp echo service-object icmp alternate-address service-object icmp mask-request service-object icmp redirect service-object icmp object-group service telnet service-object tcp destination eq telnet object-group service ntp service-object tcp-udp destination eq 123 object-group service vpn service-object udp destination eq isakmp service-object udp destination eq 1701 service-object tcp destination eq pptp object-group service ftp service-object tcp destination eq ftp service-object tcp destination eq ftp-data

Consolidación de servizos Nun conxunto de servizos autorizados:

object-group service service_enabled group-object https group-object http group-object pop group-object smtp group-object rtmp group-object ssh group-object google-play group-object teamviewer group-object spotify group-object imap group-object ping group-object telnet group-object ntp group-object vpn

Engadir de ACL para controlar o tráfico

access-list inside_in_acl extended permit object-group service_enabled object LAN_NETWORK any access-list inside_in_acl extended permit ip object LAN_NETWORK any log access-group inside_in_acl in interface inside

Inspección do tráfico

Engadir unha política global (tamén permite o paso do ICMP / Ping Trafc)

icmp unreachable rate-limit 1 burst-size 1icmp permit any echo insideicmp permit any echo-reply insideclass-map global_map match default-inspection-trafficpolicy-map global_policy class global_map inspect icmp inspect dns inspect ftp inspect h323 h225 inspect h323 ras inspect http inspect sip inspect snmp inspect ipsec-pass-thru inspect ip-options inspect pptp inspect esmtpservice-policy global_policy global

Detección de ameazas básicas

Escanear e outros

threat-detection basic-threatthreat-detection statistics access-listthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

Spoofing

Fase 3: Acceda a calquera anuncio administrador

Obxectivo: Ser capaz de xestionar a ASA en SSH nun túnel VPN.

Nota: Como só hai só “un grupo de políticas e un Túnel de grupo único, todo vai ben e caemos nos valores predeterminados. En caso contrario, haberá un mapeamento a facer entre o cliente, o nome de usuario e os outros parámetros.

Definición da piscina e subred

ip local pool VPN_POOL 192.168.22.193-192.168.22.198 mask 255.255.255.0object network VPN_NETWORK subnet 192.168.22.192 255.255.255.248

Definición do ACL para o tráfico dividido no cliente

access-list SplitVPNTunnel standard permit 192.168.22.0 255.255.255.0 

Modificación do NAT

para desactivar o NAT para a piscina de enderezos VPN

nat (outside,inside) source static VPN_NETWORK VPN_NETWORK destination static LAN_NETWORK LAN_NETWORK no-proxy-arpnat (inside,outside) source static LAN_NETWORK LAN_NETWORK destination static VPN_NETWORK VPN_NETWORK no-proxy-arp

Activación anyconnect

ssl server-version tlsv1-onlywebvpn enable outside anyconnect image disk0:/anyconnect-linux-2.2.0140-k9.pkg 1 anyconnect enable tunnel-group-list enable cache disable error-recovery disable

Definición da política VPN

group-policy VPNGroupPolicy internalgroup-policy VPNGroupPolicy attributes vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SplitVPNTunnel address-pools value VPN_POOL ipv6-address-pools none webvpn anyconnect ssl dtls enable anyconnect keep-installer none anyconnect dtls compression none anyconnect ask none default anyconnect

Definición do túnel

tunnel-group VPNTunnelGroup type remote-accesstunnel-group VPNTunnelGroup general-attributes default-group-policy VPNGroupPolicytunnel-group VPNTunnelGroup webvpn-attributes group-alias ANYCONNECT-VPN enable

e anexando a política ao túnel:

group-policy VPNGroupPolicy attributes group-lock value VPNTunnelGroup

Engadir un usuario

username ISITIXanyconnect password XXXXXX/eq encryptedusername ISITIXanyconnect attributes service-type remote-access

Activación do SSH na ASA de VPN

management-access inside

Filtro de tráfico para limitar o acceso ao SSH no IP interno da nota ASA:

É interesante probar que todo funciona ben antes de engadir estas regras de filtrado adicional.

access-list FilterVPN extended permit object-group ssh object VPN_NETWORK object LAN_IP log group-policy VPNGroupPolicy attributes vpn-filter value FilterVPN

Conexión física

Cordón entre o FW e a caixa r 0/0 ou 0/3 (datos), 0/1 ou 0/2 para telefonía

Leave a comment

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *