Firewall-urile Cisco ASA 5505 sunt încă răspândite. Există mai multe ocazii sau recondiționate la prețuri interesante. Publicăm mai jos o configurație de bază pentru acest hardware.

Această configurație presupune o utilizare a echipamentului în modul de rutare, cu o IP publică directă într-un operator. Această configurație are meritul de a fi simplu, de funcționare și capabil să servească ca bază de bază pentru o configurație mai avansată bazată pe cerințele de securitate. Această configurație funcționează, cu câteva modificări minore ale ASA 5506-X.

Această configurație oferă acces la VPN Anyconnect la echipament pentru a fi administrat prin SSH. Nu am adăugat, în această versiune de bază, autentificarea cheie, care va fi supusă unei postări ulterioare.

Setarea configurației

LAN

  • Management: 192.168.77.1
  • Gateway: 192.168.222.254
  • Public IP: 19.22.25.45
  • > Nu utilizați .1 în rețeaua internă (192.168.22.1) care corespunde casetei operatorului.
  • Mașinile sunt în 192.168.22. X / 24

La sfârșitul implementării noului firewall, schimbați piscina privată IP pentru a trece gateway-ul operatorului în 192.168.22.1 (Bilet care urmează să fie depus în OBS)

Piscină publică

  • Subnet: 19.22.25.40 (rezervat)
  • RANGE: 40 Până la 47
  • Broadcast: 47
  • router operator: 46
  • Mască: 255.255.255.248
  • 19.2.0.50, 19.2.0.50

Piscină privată Operator specific cu tavă pe un mare router central Piscină: 192.168 .22.1 (Adresa IP privată a routerului operatorului) Free

Realizarea configurației: Faza 1, Începerea noului ASA

Worktop pentru configurarea noului ASA 5505

  • Conectați-vă la ASA în portul serial OK
  • Conectați ASA la rețeaua locală = > Atribuirea unei adrese LAN (OK LAN și interfață interfață ) OK
  • Activați ssh și SCP OK
  • face inventarul versiunilor instalate OK
  • Găsiți versiuni noi pe site-ul Cisco OK
  • Instalați noile versiuni OK
  • apoi puneți configurația (filtrarea, NAT) OK
  • VPN AnyConnect Acces la administrarea routerului

Conexiune serială portuară

Pentru a vă conecta direct de la Linux cu un cablu serial Cisco și un adaptor serial-USB:

$sudo minicom -s

Configurarea interfețelor fizice

Activarea celor două porturi interioare (portul 0) și exterior (portul 5) și d Evreving alte porturi.

Porturile 6 și 7 sunt Poe.

ISITIX-fw(config)# interface ethernet 0/0ISITIX-fw(config-if)# description outsideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/5ISITIX-fw(config-if)# description insideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/1ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/2ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/3ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/4ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/6ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/7ISITIX-fw(config-if)# shutdown

Setarea setărilor de rețea

name 192.168.77.2 mgt_ipname 192.168.22.254 inside_ipname 19.22.25.45 outside_ipname 19.2.0.20 operateur_dnsname 185.94.77.77 europe_pool_ntp_orgname 192.168.22.0 inside_lanname 19.22.25.46 operateur_router

Configurarea interfețelor VLAN

Configurarea VLAN-urilor, 1 pentru administrare, 2 pentru LAN și 9 pentru WAN

interface Vlan1 management-only nameif management security-level 100 ip address mgt_ip 255.255.255.0 !interface Vlan2 description inside nameif inside security-level 99 ip address inside_ip 255.255.255.0 !interface Vlan9 description outside nameif outside security-level 0 ip address outside_ip 255.255.255.248

Adăugați porturi în dreapta Vlans

interface ethernet 0/0switchport mode accessswitchport access vlan 9interface ethernet 0/5switchport mode accessswitchport access vlan 2

hostname, domeniu, timp

Configurarea generală a pauzei

hostname ISITIX-fwdomain-name ISITIX-france.comclock timezone CET 1clock summer-time CEST recurringdns domain-lookup insidename 19.2.0.20 operateur_dnsdns name-server operateur_dnsname 185.94.77.77 europe_pool_ntp_orgntp server europe_pool_ntp_orgaaa authentication enable console LOCAL

Time Verificați

show ntp associationsshow clockshow ntp status

dezactivarea apelului Smart Home

Autentificare locală de utilizator cu PWD (Basic)

user-identity default-domain LOCALaaa authentication enable console LOCAL

Activarea ssh și SCP

ssh version 2ssl server-version tlsv1-onlyssl client-version tlsv1-onlyssh scopy enablecrypto key generate rsa modulus 2048write memoryaaa authentication ssh console LOCALusername admin password XXXXXX privilege 15ssh timeout 15ssh inside_lan 255.255.255.0 inside

Actualizare firmware

Linux$scp asa924-k8.bin Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.:disk0:/asa924-k8.binboot system disk0:/asa924-k8.bin

faza 2 a configurației ASA: NAT, rutare, filtrare

Obiecte de rețea

Adăugarea obiectelor de rețea pentru posibile LCD

object network WAN_NETWORK subnet 19.22.25.40 255.255.255.248object network LAN_IP host 192.168.22.254object network WAN_IP host 19.22.25.45object network operateur_ROUTER host 19.22.25.46object network LAN_NETWORK subnet 192.168.22.0 255.255.255.0

rutier implicit

route outside 0 0 operateur_router 1

LAN BITCH la WAN

LAN Filtrare de ieșire de către ACL

Definirea listei de servicii

object-group service dns service-object tcp-udp destination eq domain object-group service https service-object tcp destination eq https object-group service http service-object tcp destination eq www service-object tcp destination eq 8080 service-object tcp destination eq 8008 object-group service pop service-object tcp destination eq pop3 service-object tcp destination eq 995 object-group service smtp service-object tcp destination eq smtp service-object tcp destination eq 465 object-group service rtmp service-object tcp-udp destination eq 1935 service-object tcp destination eq 8134 service-object tcp destination eq 1111 object-group service ssh service-object tcp destination eq ssh object-group service google-play service-object tcp destination eq 5228 service-object tcp destination eq 5229 service-object tcp destination eq 5320 service-object udp destination eq 5228 object-group service teamviewer service-object tcp-udp destination eq 5938object-group service spotify service-object tcp destination eq 4070 object-group service imap service-object tcp destination eq imap4 service-object tcp destination eq 993 object-group service ping service-object icmp traceroute service-object icmp echo service-object icmp alternate-address service-object icmp mask-request service-object icmp redirect service-object icmp object-group service telnet service-object tcp destination eq telnet object-group service ntp service-object tcp-udp destination eq 123 object-group service vpn service-object udp destination eq isakmp service-object udp destination eq 1701 service-object tcp destination eq pptp object-group service ftp service-object tcp destination eq ftp service-object tcp destination eq ftp-data

Consolidarea serviciilor Într-un set de servicii autorizate:

object-group service service_enabled group-object https group-object http group-object pop group-object smtp group-object rtmp group-object ssh group-object google-play group-object teamviewer group-object spotify group-object imap group-object ping group-object telnet group-object ntp group-object vpn

adăugare de acl pentru a controla traficul

access-list inside_in_acl extended permit object-group service_enabled object LAN_NETWORK any access-list inside_in_acl extended permit ip object LAN_NETWORK any log access-group inside_in_acl in interface inside

Inspectarea traficului

Adăugarea unei politici globale (permite, de asemenea, trecerea TRAFC ICMP / PING)

icmp unreachable rate-limit 1 burst-size 1icmp permit any echo insideicmp permit any echo-reply insideclass-map global_map match default-inspection-trafficpolicy-map global_policy class global_map inspect icmp inspect dns inspect ftp inspect h323 h225 inspect h323 ras inspect http inspect sip inspect snmp inspect ipsec-pass-thru inspect ip-options inspect pptp inspect esmtpservice-policy global_policy global

Detectarea Amenințări de bază

Scanare și alte

threat-detection basic-threatthreat-detection statistics access-listthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

spoofing

ip verify reverse-path interface insideip verify reverse-path interface outside

Faza 3: Accesați AnyConnect Admin

Obiectiv: Pentru a putea gestiona ASA în SSH pe un tunel VPN.

Notă: Deoarece numai „un grup de politici și a Tunel de grup unic, totul merge bine și cădem pe valorile implicite. În caz contrar, ar fi o cartografiere între client, numele de utilizator și ceilalți parametri.

Definiția bazinului de adrese și a subreței

ip local pool VPN_POOL 192.168.22.193-192.168.22.198 mask 255.255.255.0object network VPN_NETWORK subnet 192.168.22.192 255.255.255.248

Definiția ACL pentru traficul divizat pe client

access-list SplitVPNTunnel standard permit 192.168.22.0 255.255.255.0 

Modificarea NAT

Pentru a dezactiva NAT la Poolul de adrese VPN

nat (outside,inside) source static VPN_NETWORK VPN_NETWORK destination static LAN_NETWORK LAN_NETWORK no-proxy-arpnat (inside,outside) source static LAN_NETWORK LAN_NETWORK destination static VPN_NETWORK VPN_NETWORK no-proxy-arp

Activarea AnyConnect

ssl server-version tlsv1-onlywebvpn enable outside anyconnect image disk0:/anyconnect-linux-2.2.0140-k9.pkg 1 anyconnect enable tunnel-group-list enable cache disable error-recovery disable

Definiția politicii VPN

group-policy VPNGroupPolicy internalgroup-policy VPNGroupPolicy attributes vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SplitVPNTunnel address-pools value VPN_POOL ipv6-address-pools none webvpn anyconnect ssl dtls enable anyconnect keep-installer none anyconnect dtls compression none anyconnect ask none default anyconnect

Tunel Definition

tunnel-group VPNTunnelGroup type remote-accesstunnel-group VPNTunnelGroup general-attributes default-group-policy VPNGroupPolicytunnel-group VPNTunnelGroup webvpn-attributes group-alias ANYCONNECT-VPN enable

și atașarea politicii la tunel:

group-policy VPNGroupPolicy attributes group-lock value VPNTunnelGroup

Adăugarea unui utilizator

username ISITIXanyconnect password XXXXXX/eq encryptedusername ISITIXanyconnect attributes service-type remote-access

Activarea ssh pe ASA de la VPN

management-access inside

Filtrarea traficului pentru a limita accesul la limită la SSH pe adresa internă a ASA Notă:

Este interesant să testați că totul funcționează cu mult înainte de a adăuga aceste reguli de filtrare suplimentară.

access-list FilterVPN extended permit object-group ssh object VPN_NETWORK object LAN_IP log group-policy VPNGroupPolicy attributes vpn-filter value FilterVPN

conexiune fizică

cordon între fw și caseta su R 0/0 sau 0/3 (date), 0/1 sau 0/2 pentru telefonie

Leave a comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *