Los firewalls Cisco ASA 5505 siguen generalizados. Hay más ocasiones o reacondicionadas a precios interesantes. Publicamos por debajo de una configuración básica para este hardware.

Esta configuración asume un uso del equipo en modo de enrutamiento, con una IP pública directa en un operador. Esta configuración tiene el mérito de ser simple, operativo y capaz de servir de base básica para una configuración más avanzada basada en los requisitos de seguridad. Esta configuración también funciona, con unos pocos cambios menores en el ASA 5506-X.

Esta configuración proporciona acceso a VPN AnyConnect al equipo para administrarlo a través de SSH. No hemos agregado, en esta versión básica, autenticación clave, que estará sujeta a una publicación posterior.

Configuración de la configuración

lan

  • Gestión: 192.168.77.1
  • Gateway: 192.168.22.254
  • IP: 19.22.25.45
  • No use el .1 en la red interna (192.168.22.1) que corresponde a la caja del operador. Las máquinas
  • son en 192.168.22. X / 24

Al final de la implementación del nuevo firewall, cambie el grupo privado de direcciones IP para pasar la puerta de enlace del operador en 192.168.22.1 (boleto a depositar en OBS)

Piscina pública

  • subred: 19.22.25.40 (reservado)
  • Rango: 40 hasta 47
  • Broadcast: 47
  • Operator Router: 46
  • Máscara: 255.255.255.248
  • DNS: 19.2.0.20, 19.2.0.50

Operador específico de la piscina privada con la cola en un gran enrutador central Piscina privada: 192.168 .22.1 (Dirección IP privada del enrutador del operador) Libre

Realización de la configuración: Fase 1, Inicio del nuevo ASA

Encimera para configurar el nuevo ASA 5505

  • Conectar al ASA en puerto serie OK
  • Conecte el ASA a la red local = > Asignación de una dirección LAN (OK LAN e Inteface Interface ) OK
  • Habilitar SSH y SCP OK
  • HAGA EL INVENTARIO DE VERSIONES INSTALADOS OK
  • Encuentre nuevas versiones en el sitio web de Cisco OK
  • Instale las nuevas versiones OK
  • luego coloque la configuración (Filtrado, NAT) OK
  • VPN AnyConnect Access para administrar el enrutador

Conexión de puerto serie

Para conectarse directamente desde Linux con un cable serie CISCO y un adaptador serie-USB:

$sudo minicom -s

Configuración de interfaces físicas

Activación de los dos puertos internos (puerto 0) y exterior (puerto 5) y d Esiverging Otros puertos.

Puertos 6 y 7 son POE.

ISITIX-fw(config)# interface ethernet 0/0ISITIX-fw(config-if)# description outsideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/5ISITIX-fw(config-if)# description insideISITIX-fw(config-if)# no shutdownISITIX-fw(config)# interface ethernet 0/1ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/2ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/3ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/4ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/6ISITIX-fw(config-if)# shutdownISITIX-fw(config)# interface ethernet 0/7ISITIX-fw(config-if)# shutdown

Configuración de la configuración de red

name 192.168.77.2 mgt_ipname 192.168.22.254 inside_ipname 19.22.25.45 outside_ipname 19.2.0.20 operateur_dnsname 185.94.77.77 europe_pool_ntp_orgname 192.168.22.0 inside_lanname 19.22.25.46 operateur_router

Configuración de las interfaces VLAN

Configuración de VLAN, 1 para Administración, 2 para LAN y 9 para WAN

interface Vlan1 management-only nameif management security-level 100 ip address mgt_ip 255.255.255.0 !interface Vlan2 description inside nameif inside security-level 99 ip address inside_ip 255.255.255.0 !interface Vlan9 description outside nameif outside security-level 0 ip address outside_ip 255.255.255.248

Agregar puertos en la derecha VLANS

interface ethernet 0/0switchport mode accessswitchport access vlan 9interface ethernet 0/5switchport mode accessswitchport access vlan 2

nombre de host, dominio, tiempo

Configuración general del pareFeu

Verifique

show ntp associationsshow clockshow ntp status

Deshabilitación de la llamada inteligente Inicio

clear config call-home no service call-home

Autenticación de usuario basada en el local con PWD (BASIC)

user-identity default-domain LOCALaaa authentication enable console LOCAL

Habilitando ssh y scp

ssh version 2ssl server-version tlsv1-onlyssl client-version tlsv1-onlyssh scopy enablecrypto key generate rsa modulus 2048write memoryaaa authentication ssh console LOCALusername admin password XXXXXX privilege 15ssh timeout 15ssh inside_lan 255.255.255.0 inside

Actualización de firmware

Linux$scp asa924-k8.bin Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.:disk0:/asa924-k8.binboot system disk0:/asa924-k8.bin

fase 2 de la configuración ASA: NAT, enrutamiento, filtrado

Objetos de red

Agregar objetos de red para una posible LCD

object network WAN_NETWORK subnet 19.22.25.40 255.255.255.248object network LAN_IP host 192.168.22.254object network WAN_IP host 19.22.25.45object network operateur_ROUTER host 19.22.25.46object network LAN_NETWORK subnet 192.168.22.0 255.255.255.0

carretera predeterminada

route outside 0 0 operateur_router 1

lan perra a wan

object network LAN_NETWORK nat (inside,outside) dynamic interface

Filtrado saliente de LAN por ACL

Definición de la lista de servicios

object-group service dns service-object tcp-udp destination eq domain object-group service https service-object tcp destination eq https object-group service http service-object tcp destination eq www service-object tcp destination eq 8080 service-object tcp destination eq 8008 object-group service pop service-object tcp destination eq pop3 service-object tcp destination eq 995 object-group service smtp service-object tcp destination eq smtp service-object tcp destination eq 465 object-group service rtmp service-object tcp-udp destination eq 1935 service-object tcp destination eq 8134 service-object tcp destination eq 1111 object-group service ssh service-object tcp destination eq ssh object-group service google-play service-object tcp destination eq 5228 service-object tcp destination eq 5229 service-object tcp destination eq 5320 service-object udp destination eq 5228 object-group service teamviewer service-object tcp-udp destination eq 5938object-group service spotify service-object tcp destination eq 4070 object-group service imap service-object tcp destination eq imap4 service-object tcp destination eq 993 object-group service ping service-object icmp traceroute service-object icmp echo service-object icmp alternate-address service-object icmp mask-request service-object icmp redirect service-object icmp object-group service telnet service-object tcp destination eq telnet object-group service ntp service-object tcp-udp destination eq 123 object-group service vpn service-object udp destination eq isakmp service-object udp destination eq 1701 service-object tcp destination eq pptp object-group service ftp service-object tcp destination eq ftp service-object tcp destination eq ftp-data

Consolidación de servicios En un conjunto de servicios autorizados:

object-group service service_enabled group-object https group-object http group-object pop group-object smtp group-object rtmp group-object ssh group-object google-play group-object teamviewer group-object spotify group-object imap group-object ping group-object telnet group-object ntp group-object vpn

Agregar a ACL para controlar el tráfico

access-list inside_in_acl extended permit object-group service_enabled object LAN_NETWORK any access-list inside_in_acl extended permit ip object LAN_NETWORK any log access-group inside_in_acl in interface inside

Inspección del tráfico

Agregar una política global (también permite el paso del ICMP / PING TRAFC)

icmp unreachable rate-limit 1 burst-size 1icmp permit any echo insideicmp permit any echo-reply insideclass-map global_map match default-inspection-trafficpolicy-map global_policy class global_map inspect icmp inspect dns inspect ftp inspect h323 h225 inspect h323 ras inspect http inspect sip inspect snmp inspect ipsec-pass-thru inspect ip-options inspect pptp inspect esmtpservice-policy global_policy global

Detección de Amenazas básicas

escanear y otros

threat-detection basic-threatthreat-detection statistics access-listthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

SPOOFING

ip verify reverse-path interface insideip verify reverse-path interface outside

Fase 3: Acceda a AnyConnect Admin

Objetivo: Para poder administrar el ASA en SSH en un túnel VPN.

Nota: como solo hay solo ‘un grupo de políticas y un Túnel de un solo grupo, todo va bien y caemos en los valores predeterminados. De lo contrario, habría un mapeo para hacer entre el cliente, el nombre de usuario y los otros parámetros.

Definición del grupo de direcciones y subred

ip local pool VPN_POOL 192.168.22.193-192.168.22.198 mask 255.255.255.0object network VPN_NETWORK subnet 192.168.22.192 255.255.255.248

Definición de la ACL para el tráfico dividido en el cliente

Modificación de la NAT

para deshabilitar el NAT a la dirección de la dirección VPN

nat (outside,inside) source static VPN_NETWORK VPN_NETWORK destination static LAN_NETWORK LAN_NETWORK no-proxy-arpnat (inside,outside) source static LAN_NETWORK LAN_NETWORK destination static VPN_NETWORK VPN_NETWORK no-proxy-arp

AnyConnect Activation

ssl server-version tlsv1-onlywebvpn enable outside anyconnect image disk0:/anyconnect-linux-2.2.0140-k9.pkg 1 anyconnect enable tunnel-group-list enable cache disable error-recovery disable

Definición de la política VPN

group-policy VPNGroupPolicy internalgroup-policy VPNGroupPolicy attributes vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SplitVPNTunnel address-pools value VPN_POOL ipv6-address-pools none webvpn anyconnect ssl dtls enable anyconnect keep-installer none anyconnect dtls compression none anyconnect ask none default anyconnect

Definición del túnel

tunnel-group VPNTunnelGroup type remote-accesstunnel-group VPNTunnelGroup general-attributes default-group-policy VPNGroupPolicytunnel-group VPNTunnelGroup webvpn-attributes group-alias ANYCONNECT-VPN enable

y adjuntando la política al túnel:

group-policy VPNGroupPolicy attributes group-lock value VPNTunnelGroup

Agregar a un usuario

username ISITIXanyconnect password XXXXXX/eq encryptedusername ISITIXanyconnect attributes service-type remote-access

Activación de la SSH en el ASA de VPN

management-access inside

Filtrado de tráfico para limitar el acceso A la SSH en la IP interna de la nota ASA:

Es interesante probar que todo funciona bien antes de agregar estas reglas de filtrado adicional.

access-list FilterVPN extended permit object-group ssh object VPN_NETWORK object LAN_IP log group-policy VPNGroupPolicy attributes vpn-filter value FilterVPN

Conexión física

Cordón entre el FW y la caja Su R 0/0 o 0/3 (DATOS), 0/1 o 0/2 para telefonía

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *