I firewall Cisco ASA 5505 sono ancora diffusi. Ci sono più occasioni o ricondizionate a prezzi interessanti. Pubblichiamo sotto una configurazione di base per questo hardware.

Questa configurazione assume un utilizzo dell’apparecchiatura in modalità routing, con un IP pubblico diretto in un operatore. Questa configurazione ha il merito di essere semplice, operativo e in grado di fungere da base di base per una configurazione più avanzata basata sui requisiti di sicurezza. Questa configurazione funziona anche, con alcune modifiche minori su ASA 5506-X.

Questa configurazione fornisce l’accesso a VPN AnyConnect all’apparecchiatura per amministrarlo tramite SSH. Non abbiamo aggiunto, in questa versione base, autenticazione chiave, che sarà soggetta a un post successivo.

Impostazione della configurazione

LAN

  • Gestione: 192.168.77.1
  • gateway: 192.168.22.254
  • IP pubblico: 19.22.25.45
  • dominio: ilatix-france.com
  • Non utilizzare il .1 sulla rete interna (192.168.22.1) che corrisponde alla casella dell’operatore.
  • Le macchine sono nel 192.168.22. X / 24

> Alla fine dell’attuazione del nuovo firewall, modificare il pool di indirizzi IP privato per superare il gateway dell’operatore nel 192.168.22.1 (Biglietto da depositare in OBS)

Piscina pubblica

  • Subnet: 19.22.25.40 (Riservato)
  • Range: 40 fino a 47
  • Broadcast: 47
  • Router operatore: 46
  • Maschera: 255.255.255.248
  • DNS: 19.2.0.20, 19.2.0.50

Piscina privata Operatore specifico con tailing su un grande router centrale Piscina privata: 192.168 .22.1. (Indirizzo IP privato del router operatore) FREE

Realizzazione della configurazione: Fase 1, Inizio della nuova ASA

Piano di lavoro per la configurazione del nuovo ASA 5505

  • Connetti alla porta ASA in Seriale OK
  • Collegare la ASA alla rete locale = > Assegnazione di un indirizzo LAN (interfaccia OK LAN e Inteface Interface ) OK
  • Abilita SSH e SCP OK
  • Effettua l’inventario delle versioni installate OK
  • Trova nuove versioni sul sito Web Cisco OK
  • Installare le nuove versioni OK
  • Quindi inserire la configurazione (filtro, NAT) OK
  • VPN AnyConnect Accesso per amministrare il router

collegamento della porta seriale

Per connettersi direttamente da Linux con un cavo seriale Cisco e un adattatore seriale-USB:

$sudo minicom -s

Configurazione delle interfacce fisiche

Attivazione delle due porte interne (porta 0) e all’esterno (porta 5) e D Ersiverendo altre porte.

Porte 6 e 7 sono PoE.

ISITIX-fw(config)# interface ethernet 0/0ISITIX-fw(config-if)# description outsideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/5ISITIX-fw(config-if)# description insideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/1ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/2ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/3ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/4ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/6ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/7ISITIX-fw(config-if)# shutdown

Impostazione delle impostazioni di rete

name 192.168.77.2 mgt_ipname 192.168.22.254 inside_ipname 19.22.25.45 outside_ipname 19.2.0.20 operateur_dnsname 185.94.77.77 europe_pool_ntp_orgname 192.168.22.0 inside_lanname 19.22.25.46 operateur_router

Impostazione delle interfacce VLAN

Configurazione di VLANS, 1 per Amministrazione, 2 per LAN e 9 per WAN

Aggiungi porte nelle vLans giuste

interface ethernet 0/0switchport mode accessswitchport access vlan 9interface ethernet 0/5switchport mode accessswitchport access vlan 2

nome host, dominio, tempo

Configurazione generale del PareFeu

Check Time

show ntp associationsshow clockshow ntp status

Disabilitazione della chiamata intelligente Home

clear config call-home no service call-home

Autenticazione utente basata su locale con PWD (Basic)

user-identity default-domain LOCALaaa authentication enable console LOCAL

Abilitazione ssh e ssh

ssh version 2ssl server-version tlsv1-onlyssl client-version tlsv1-onlyssh scopy enablecrypto key generate rsa modulus 2048write memoryaaa authentication ssh console LOCALusername admin password XXXXXX privilege 15ssh timeout 15ssh inside_lan 255.255.255.0 inside

Aggiornamento del firmware

Linux$scp asa924-k8.bin Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.:disk0:/asa924-k8.binboot system disk0:/asa924-k8.bin

Fase 2 della configurazione ASA: NAT, Routing, Filtering

Oggetti di rete

Aggiunta di oggetti di rete per Possibile LCD

object network WAN_NETWORK subnet 19.22.25.40 255.255.255.248object network LAN_IP host 192.168.22.254object network WAN_IP host 19.22.25.45object network operateur_ROUTER host 19.22.25.46object network LAN_NETWORK subnet 192.168.22.0 255.255.255.0

road predefinito

route outside 0 0 operateur_router 1

LAN Bitch to wan

object network LAN_NETWORK nat (inside,outside) dynamic interface

Filtro in uscita LAN da ACL

Definizione dell’elenco dei servizi

object-group service dns service-object tcp-udp destination eq domain object-group service https service-object tcp destination eq https object-group service http service-object tcp destination eq www service-object tcp destination eq 8080 service-object tcp destination eq 8008 object-group service pop service-object tcp destination eq pop3 service-object tcp destination eq 995 object-group service smtp service-object tcp destination eq smtp service-object tcp destination eq 465 object-group service rtmp service-object tcp-udp destination eq 1935 service-object tcp destination eq 8134 service-object tcp destination eq 1111 object-group service ssh service-object tcp destination eq ssh object-group service google-play service-object tcp destination eq 5228 service-object tcp destination eq 5229 service-object tcp destination eq 5320 service-object udp destination eq 5228 object-group service teamviewer service-object tcp-udp destination eq 5938object-group service spotify service-object tcp destination eq 4070 object-group service imap service-object tcp destination eq imap4 service-object tcp destination eq 993 object-group service ping service-object icmp traceroute service-object icmp echo service-object icmp alternate-address service-object icmp mask-request service-object icmp redirect service-object icmp object-group service telnet service-object tcp destination eq telnet object-group service ntp service-object tcp-udp destination eq 123 object-group service vpn service-object udp destination eq isakmp service-object udp destination eq 1701 service-object tcp destination eq pptp object-group service ftp service-object tcp destination eq ftp service-object tcp destination eq ftp-data

Consolidamento dei servizi in un insieme di servizi autorizzati:

object-group service service_enabled group-object https group-object http group-object pop group-object smtp group-object rtmp group-object ssh group-object google-play group-object teamviewer group-object spotify group-object imap group-object ping group-object telnet group-object ntp group-object vpn

Aggiungi di ACL per controllare il traffico

access-list inside_in_acl extended permit object-group service_enabled object LAN_NETWORK any access-list inside_in_acl extended permit ip object LAN_NETWORK any log access-group inside_in_acl in interface inside

H4> Ispezione del traffico

Aggiunta di una politica globale (consente anche il passaggio del TRAFC ICMP / PING)

icmp unreachable rate-limit 1 burst-size 1icmp permit any echo insideicmp permit any echo-reply insideclass-map global_map match default-inspection-trafficpolicy-map global_policy class global_map inspect icmp inspect dns inspect ftp inspect h323 h225 inspect h323 ras inspect http inspect sip inspect snmp inspect ipsec-pass-thru inspect ip-options inspect pptp inspect esmtpservice-policy global_policy global

Rilevamento di Minacce di base

Scansione e altro

threat-detection basic-threatthreat-detection statistics access-listthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

spoofing

ip verify reverse-path interface insideip verify reverse-path interface outside

Phase 3: Accedi ad Amministratore AnyConnect

Obiettivo: essere in grado di gestire l’ASA in SSH su un tunnel VPN.

Nota: poiché è solo solo un solo gruppo di criteri e a Tunnel di gruppo singolo, tutto sta andando bene e cadiamo sui valori predefiniti. Altrimenti, ci sarebbe una mappatura da fare tra il cliente, il nome utente e gli altri parametri.

Definizione del pool di indirizzi e subnet

ip local pool VPN_POOL 192.168.22.193-192.168.22.198 mask 255.255.255.0object network VPN_NETWORK subnet 192.168.22.192 255.255.255.248

Definizione dell’ACL per il traffico diviso sul client

access-list SplitVPNTunnel standard permit 192.168.22.0 255.255.255.0 

Modifica del NAT

per disabilitare il NAT al pool di indirizzi VPN

nat (outside,inside) source static VPN_NETWORK VPN_NETWORK destination static LAN_NETWORK LAN_NETWORK no-proxy-arpnat (inside,outside) source static LAN_NETWORK LAN_NETWORK destination static VPN_NETWORK VPN_NETWORK no-proxy-arp

H4> AnyConnect Attivazione

ssl server-version tlsv1-onlywebvpn enable outside anyconnect image disk0:/anyconnect-linux-2.2.0140-k9.pkg 1 anyconnect enable tunnel-group-list enable cache disable error-recovery disable

Definizione della politica VPN

group-policy VPNGroupPolicy internalgroup-policy VPNGroupPolicy attributes vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SplitVPNTunnel address-pools value VPN_POOL ipv6-address-pools none webvpn anyconnect ssl dtls enable anyconnect keep-installer none anyconnect dtls compression none anyconnect ask none default anyconnect

definizione del tunnel

tunnel-group VPNTunnelGroup type remote-accesstunnel-group VPNTunnelGroup general-attributes default-group-policy VPNGroupPolicytunnel-group VPNTunnelGroup webvpn-attributes group-alias ANYCONNECT-VPN enable

e allegando la politica al tunnel:

group-policy VPNGroupPolicy attributes group-lock value VPNTunnelGroup

Aggiunta di un utente

username ISITIXanyconnect password XXXXXX/eq encryptedusername ISITIXanyconnect attributes service-type remote-access

Attivazione del SSH sull’ASS da VPN

management-access inside

filtraggio del traffico per limitare l’accesso Alla SSH sull’IP interno della ASA NOTA:

È interessante testare che tutto funziona bene prima di aggiungere queste regole di filtraggio aggiuntivo.

access-list FilterVPN extended permit object-group ssh object VPN_NETWORK object LAN_IP log group-policy VPNGroupPolicy attributes vpn-filter value FilterVPN

connessione fisica

cavo tra fw e la scatola su r 0/0 o 0/3 (dati), 0/1 o 0/2 per telefonia

Leave a comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *