spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

CISCO ASA – podstawowa konfiguracja

11 października 2019 0

CISCO ASA obok routerów i przełączników jest kolejnym urządzeniem sieciowym, którego głównym zadaniem jest ochrona naszej sieci przed intruzami i nieautoryzowanym dostępem. Ochrona ta polega na blokowaniu niedozwolonego ruchu sieciowego. Urządzenie ASA w kontrolowanej przez nas sieci pełni rolę firewalla. W artykule tym zajmiemy się podstawową konfiguracją urządzenia CISCO ASA oraz jego implementacją w sieci.

CISCO ASA podstawowa konfiguracja

Wiemy już, że głównym zadaniem urządzenia jest prowadzenie polityki bezpieczeństwa polegającej na filtrowaniu pakietów tak by sieć była zabezpieczona ale i by w sposób bezpieczny był zapewniony do niej dostęp. Ochrona naszej sieci jest realizowana z wykorzystaniem następujących mechanizmów:

  • Filtrowanie pakietów realizowane z wykorzystaniem listy dostępu ACL: CISCO ASA obsługuje zarówno standardowe, jak i rozszerzone listy dostępu. Różnica pomiędzy listami dostępu tymi konfigurowanymi na routerze a na ASA jest taka, że w przypadku definicji listy ACL na firewallu używamy maski rzeczywistej a nie wildcard mask.
  • Filtrowanie stanowe: przez urządzenie ASA cały ruch sieciowy traktowany jest jako całość co oznacza, że decyzja o przepuszczeniu bądź zablokowaniu danego pakietu jest podejmowana w oparciu o analizę pakietów tworzących połączenie. Mówiąc trochę inaczej, firewall „wie”, czy otrzymany pakiet jest częścią aktualnie realizowanego połączenia czy może jest całkowicie odrębnym i nieoczekiwanym pakietem. Dla użytkownika oznacza to, że pomimo domyślnie działającego blokowania przesyłania informacji z portu o niższej wartości security-level do portu bardziej zaufanego (wyższy poziom ustawienia security-level) w sytuacji w której ruch zostaje zainicjonowany z wewnątrz i oczekujemy danych zwrotnych to dane te nie zostaną przez firewall zablokowane.

Prześledźmy przykład w którym host znajdujący się wewnątrz sieci wysyła pakiet do serwera WWW. Adres źródłowy hosta to 10.0.0.10, zaś port źródłowy TCP to 5555. Docelowym adresem serwera WWW jest adres IP 100.120.56.14, połączenie oczywiście jest ustanawiane z domyślnym portem TCP 80. Firewall tak ustanowioną sesję zapamięta czego efektem będzie oczekiwanie na ruch zwrotny. Gdy odpowiedź od serwera WWW nadejdzie (adres IP 100.120.56.14, port źródłowy 80) i będzie kierowana do hosta (adres IP 10.0.0.10, port docelowy 5555) zostanie ona przepuszczona.

  • Wykorzystanie mechanizmu AAA: obsługiwane są usługi AAA – uwierzytelniania, autoryzacji i rozliczania. Mechanizm ten może być zaimplementowany lokalnie bądź wykorzystywać do działania serwer ACS (Access Control Server) lub RADIUS.
  • DHCP: firewall może pełnić funkcję serwera bądź klienta usługi DHCP – może dostarczać konfigurację sieciową hostom po stronie sieci LAN (pula adresów IP zależna od posiadanej licencji) a jednocześnie sam uzyskiwać odpowiednie adresy IP od naszego ISP.
  • NAT: obsługa NAT (NAT statyczny i dynamiczny) oraz PAT. Urządzenie posiada możliwość definicji wyjątku NAT określającego reguły co do ruchu sieciowego niepodlegającego translacji (wykorzystywane w przypadku użycia tuneli VPN).
  • Routing: ASA obsługuje takie protokoły routingu dynamicznego jak: RIP (ang. Routing Information Protocol), EIGRP (ang. Enhanced Interior Gateway Routing Protocol) oraz OSPF (Open Shortest Path First). Istnieje również możliwość definicji tras statycznych.
  • Grupy obiektów: których zadaniem jest uproszczenie konfiguracji urządzenia, zamiast np. definiować listę ACL do każdego z adresów IP podlegających jej działaniu można utworzyć grupę w skład, której będą wchodzić dane adresy IP a w składni polecenia listy ACL zamiast do adresów odwołać się do grupy. Tak utworzona lista ACL będzie stosowana do wszystkich adresów IP znajdujących się w grupie. Uzyskujemy przejrzystość konfiguracji oraz w przypadku zmiany zasięgu działania listy ACL (dodanie bądź usunięcie adresów IP) modyfikujemy elementy grupy a nie listę ACL (można ten mechanizm porównać z zasadami grup w Windows Server).
  • Implementacja w warstwie 3 lub warstwie 2: firewall może działać w warstwie 3 modelu ISO/OSI co oznacza, że do każdego z interfejsów zapory można przypisać adres IP pomiędzy, którymi jest prowadzony routing. W przypadku warstwy 2 interfejsy sieciowe traktowane są jako most – ruch sieciowy przechodzący pomiędzy interfejsami nadal podlega kontroli i zdefiniowanym regułom.
  • Obsługa tuneli VPN: – firewall może zostać skonfigurowany do obsługi tuneli VPN typu lokalizacja-lokalizacja (ang. Site-to-Site – gdy łączymy ze sobą dwie sieci, pomiędzy, którymi musi być zapewniona komunikacja) oraz tuneli VPN, których zadaniem jest zapewnienie łączności pracownikom z siecią np. przedsiębiorstwa (ang. Client-Site – tunele tego typu najczęściej są wykorzystywane przez klientów pracujących zdalnie ale muszących mieć dostęp do zasobów sieci firmowej).

Opisane usługi nie wyczerpują wszystkich możliwości urządzenia ale te bardziej złożone i wyrafinowane (np. filtrowanie ruch bootnet czy AMP – ochrona przed złośliwym oprogramowaniem) dostępne są dla urządzeń bardziej zaawansowanych.

Te możliwości urządzenia zaprezentowane powyżej będziemy wykorzystywać i ich działanie oraz sposób konfiguracji postaram się przedstawić.

Całość tego wpisu oprę na urządzeniu CISCO ASA 5505, które jest najmniej zaawansowanym sprzętem oferowanym przez CISCO w tej klasie produktów ale na tyle wystarczającym by wszystkie mechanizmy typowej zapory sieciowej omówić.

Zanim przejdziemy dalej przyjrzyjmy się urządzeniu. Omawiany model wyposażony jest w 256 MB pamięci DRAM (pamięć tą możemy zwiększyć o kolejne 256 MB) oraz 128 MB pamięci flash.

Na panelu przednim umieszczono szereg diod (poza złączem USB), których zadaniem jest informowanie Nas o stanie urządzenia i aktualnie włączonych funkcjach.

Dioda Power sygnalizuje Nam podłączenie urządzenia do zasilacza, firewall jest włączony.

Dioda Status, gdy pali się światłem stałym oznacza to, że nastąpił prawidłowy start urządzenia podczas, którego nie napotkano na żadne błędy (po włączeniu do zasilania dioda Status miga zielonym światłem powiadamiając Nas tym samym, że następuje proces ładowania poszczególnych komponentów systemu). Podczas napotkania na błąd, który uniemożliwia prawidłowy start systemu dioda zacznie mrugać pomarańczowym światłem.

Paląca się dioda Active oznacza aktywność urządzenia oraz jego prawidłową pracę.

Zainicjowanie tunelu VPN będzie sygnalizowane zapaleniem się diody VPN.

Dioda SSC świeci się tylko wtedy gdy do urządzenia CISCO ASA została podłączona dodatkowa karta SSC (ang. Secure Services Card). Zadaniem karty jest zapewnienie przyspieszenia pracy firewalla oraz umożliwienie realizowania połączeń VPN przez większą liczbę klientów. Kartę tą można traktować jako akcelerator.

Diody Link/Act zapalają się w momencie podpięcia przewodu do interfejsu, miganie diody oznacza prowadzoną transmisję danych.  Maksymalna prędkość prowadzonej komunikacji sygnalizowana jest zapaleniem się diody 100 Mbps, niepaląca się dioda oznacza transmisję z prędkością 10 Mbps.

Łącze USB służy do podłączenia zewnętrznych nośników danych (dysk twardy, pendrive) celem np. aktualizacji oprogramowania.

urządzenie CISCO ASA - panel przedni

Panel przedni mamy z „głowy” przyjrzyjmy się tyłowi (idziemy od lewej).

Pierwsze złącze Power 48VDC służy do podłączenia zasilania.

Kolejne 8 łączy (od 0 do 7) to interfejsy sieciowe przy czym interfejsy oznaczone numerem 6 i 7 obsługują standard Power over Ethernet zapewniający zasilanie podłączonych do nich urządzeń (np. kamery IP, AP). Każdy z interfejsów zaopatrzony jest w dwie diody sygnalizujące stan interfejsu.

Interfejsy sieciowe w CISCO ASA 5505 mogą działać tylko w warstwie 2 co niesie za sobą niemożność skonfigurowania adresów IP bezpośrednio na każdym z interfejsów (w wyższych modelach urządzeń adres IP przypisujemy na danym interfejsie). Ominięciem tego problemu polega na utworzeniu sieci VLAN a następnie zdefiniowaniu jej adresu IP i przypisaniu określonego interfejsu do danej sieci VLAN.

Na tyle urządzenia zostały umiejscowione dwa dodatkowe złącza USB oraz port interfejsu konsolowego.

Celem zabezpieczenia urządzenia przed kradzieżą można użyć linki, którą umiejscawia się w złączu Kensington Lock.

Przycisk Reset służy do wyzerowania ustawień.

Po odkręceniu dwóch śrubek w wnętrzu firewalla możemy umieścić dodatkową kartę SSC.

urządzenie CISCO ASA - panel tylny

Chwilę temu wspomniałem o parametrze security-level tak więc wypada temat rozwinąć gdyż mechanizm ten stanowi podstawę działania firewalla. Każdemu z interfejsów firewalla możemy przypisać wartość parametru security-level, możliwe do wykorzystania wartości mieszczą się w przedziale od 0 do 100. Poprzez definicję wartości określamy Nasz poziom zaufania do interfejsu. Zasada jest taka: im wyższa wartość tym bardziej ufamy sieci, która przez dany port firewalla jest osiągalna. Ponieważ sieci LAN są tymi sieciami nad którymi mamy pełną kontrolę to najczęściej interfejsowi podłączonemu z tego typu siecią przypisujemy wartość 100. Sieci WAN są poza naszą jurysdykcją dlatego też interfejs, który prowadzi do tej sieci ma przypisywaną wartość 0. Definicja poziomów zabezpieczeń niesie za sobą konsekwencje w sposobie przesyłania pakietów pomiędzy interfejsami, które mają przypisane różne wartości security-level. Obowiązuje zasada, że interfejsy z większą wartością poziomu bezpieczeństwa mogą komunikować się z sieciami o mniejszym poziomie zaufania. Sytuacja odwrotna czyli sieć z niższą wartością security-level nie ma dostępu do sieci znajdującej się za interfejsem dla którego ustaliliśmy większy poziom zaufania (no chyba, że lista ACL mówi inaczej). Podsumowując sieć LAN (secutity-level 100) wyśle swoje pakiety do sieci WAN (security-level 0) bez komplikacji zaś pakiety z sieci WAN do sieci LAN zostaną zablokowane.

Na poniższym schemacie został zaprezentowany sposób kontrolowania przepływu ruchu sieciowego (przedstawiony schemat sieci jest najczęściej implementowanym modelem, strzałkami został zaznaczony tylko ruch dozwolony w innych sytuacjach ruch jest blokowany). Sieć została podzielona na trzy strefy: Internet, DMZ oraz sieć LAN. W LAN-ie znajdują się chronione komputery tak by dostęp z poziomu Internetu i strefy DMZ był do nich zabroniony. Komunikacja z sieci Internet oraz DMZ z hostami w sieci LAN jest niemożliwa gdyż interfejs przez który dostępna jest sieć LAN ma zdefiniowany najwyższy możliwy poziom bezpieczeństwa. A jak już wiesz pakiety z interfejsów z niższym poziomem security-level kierowane do interfejsów bardziej zaufanych są odrzucane. Za to pakiety z sieci LAN mogą być swobodnie przekazane w kierunku Internetu oraz strefy DMZ. W strefie DMZ znajdują się komputery, które realizują usługi, które muszą być dostępne z poziomu Internetu (np. serwer WWW czy poczty elektronicznej). W domyślnej konfiguracji dostęp z Internetu do strefy DMZ jest niemożliwy ale poprzez utworzenie listy dostępu, możemy na dany typ ruchu sieciowego zezwolić. Tak więc jeśli w strefie DMZ znajduje się serwer WWW akceptowalnym ruchem sieciowym nie podlegającym blokowaniu będzie ten związany ze stronami internetowymi (ruch sieciowy innego typu nie spełni kryterium listy ACL więc zostanie przez firewall odrzucony).

Podstawowym celem tworzenia strefy DMZ jest zapewnienie ochrony sieci lokalnej w przypadku naruszenia bezpieczeństwa znajdujących się w niej serwerów. Jeśli atak na serwer znajdujący się w strefie DMZ powiedzie się i atakujący uzyska dostęp do tego segmentu sieci to dzięki zastosowaniu segmentacji sieci z różnymi poziomami zabezpieczeń nie uzyska on z poziomu tej strefy dostępu do sieci LAN.

sieć lan - poziom bezpieczeństwa

Podczas podejmowania decyzji o zakupie urządzenia trzeba wziąć pod uwagę jeszcze jeden czynnik (ominięcie go może spowodować, że zakupione urządzenie nie będzie spełniać Naszych oczekiwań) a mianowicie sposób wyboru licencjonowania. Wybór odpowiedniej licencji ma wpływ na funkcjonalność urządzenia oraz na zakres jego działania.

Wybieramy pomiędzy dwiema licencjami:

  • Base License

Licencja ta pozwala na skonfigurowanie do 3 sieci VLAN, co umożliwia Nam podzielenie sieci na trzy odrębne strefy (wewnętrzna, zewnętrzna, DMZ). Niestety urządzenia pracujące na bazie tej licencji mają nałożone ograniczenie komunikacji między sieciami VLAN. Oznacza to, że strefa wewnętrzna VLAN może komunikować się z DMZ, ale już sytuacja odwrotna jest niedozwolona (DMZ nie może wysyłać ruchu do wewnętrznej sieci VLAN). Brak możliwości zestawienia łącza typu trunk oraz wprowadzenia redundancji urządzeń.

  • Security Plus License

Licencja ta znosi ograniczenia licencji podstawowej. Maksymalna ilość sieci VLAN jaką można utworzyć wynosi 20 i możliwe jest skonfigurowanie interfejsu do pracy w trybie trunk. Pełna komunikacja pomiędzy sieciami VLAN jest zapewniona. Możliwość wykorzystania nadmiarowości urządzeń.

Pełne porównanie możliwości każdej z licencji znajdziesz na stronie cisco.

Topologia sieci na której będziemy ćwiczyć konfigurację urządzenia CISCO ASA 5505 prezentuje się następująco (nie jest skomplikowana ale pozwoli Nam na poznanie i skonfigurowanie podstawowych funkcji urządzenia).

Firewall CISCO ASA 5505 został fabrycznie skonfigurowany w taki sposób, by po wyjęciu urządzenia z pudełka było one od razu gotowe do pracy. Interfejs Ethernet 0/0 (sieć zewnętrzna, Internet) uzyskuje adres IP od naszego ISP (klient DHCP) a interfejsy wewnętrzne (Ethernet 0/1 – 0/7) dostarczają konfigurację sieciową podłączonym do nich hostom (serwer DHCP).

topologia sieci

Opis konfiguracji urządzenia rozpoczniemy od wiersza linii poleceń. Dostęp do firewalla uzyskujemy po podłączeniu go z komputerem z wykorzystaniem portu Console.

Na naszym firewallu CISCO ASA rozpoczynamy od przejścia do trybu uprzywilejowanego, aby tryb ten uaktywnić wpisujemy dobrze Nam znane polecenie: enable (przy zapytaniu o hasło wybieramy Enter – hasło nie jest ustawione).

tryb uprzywilejowany enable

Pierwszą czynnością jaką możemy wykonać jest sprawdzenie wersji oprogramowania oraz wersji posiadanej licencji. Wszystkie informacje uzyskamy wydając polecenie: show version

show version - sprawdzenie wersji oprogramowania oraz wersji posiadanej licencji

W następnym kroku przechodzimy do trybu konfiguracji globalnej i na postawione pytanie dotyczące wysyłania anonimowych raportów odpowiadamy według własnego uznania.

tryb konfiguracji globalnej

Naszą konfigurację rozpoczniemy od zdefiniowania hasła dostępu do trybu uprzywilejowanego oraz założenia konta użytkownika.

1 – za pomocą polecenia: enable password <hasło> – ustalamy hasło dostępu do trybu enable,

2 – za pomocą polecenia: username <nazwa_konta> password <hasło> privilege <poziom> definiujemy konto użytkownika lokalnego. Poniżej zostało utworzone konto luk z hasłem cisco, użytkownika ma maksymalny poziom uprawnień

założenia konta użytkownika

Stacja robocza jest do firewalla CISCO ASA podpięta do interfejsu e0/3 tak więc przejdźmy do ustawień portu. Konfigurację interfejsu tak jak w innych urządzeniach CISCO przeprowadzamy w trybie  danego interfejsu aby tryb ten uaktywnić wydajemy polecenie: interface <nazwa_interfejsu>

Przypisanie portu do sieci VLAN realizujemy za pomocą komendy: switchport access vlan <numer_VLAN> – port został przypisany do sieci VLAN 1. Za pomocą polecenia: description <opis> możemy zdefiniować opcjonalny opis portu. Aby port uaktywnić wydajemy komendę: no shutdown

ustawienia portu

Wprowadzone ustawienia interfejsu możemy zweryfikować wydając polecenie: show interface <nazwa_interfejsu>

ustawienia interfejsu

Wszystkie porty od e0/1 do e0/7 są przypisane do sieci VLAN 1. Sieć ta jest naszą siecią lokalną tak więc jest to sieć o największym zaufaniu. Dlatego też do sieci VLAN 1 został przypisany poziom security-level o wartości 100 Zdefiniowanie poziomu zaufania do sieci wykonujemy za pomocą polecenia: security-level <wartość> Polecenie wydajemy w trybie konfiguracji interfejsu VLAN.

zdefiniowanie poziomu zaufania do sieci

Stan przypisania portów do określonego VLAN-u możemy sprawdzić wydając polecenie: show switch vlan zaś informacje statystyczne poznamy za pomocą komendy: show interfave vlan <numer>

informacje statystyczne i stan przypisania portów

Oprogramowanie Cisco ASA pozwala Nam na zdefiniowanie nazwy interfejsu, alias ten może być użyty podczas dalszej konfiguracji urządzenia a dodatkowo nazwa ta lepiej definiuje przeznaczenie interfejsu. Poniżej interfejsowi VLAN 1 został przypisana nazwa LAN. Nazwę definiujemy w trybie konfiguracji interfejsu za pomocą polecenia: nameif <nazwa> Domyślnie sieć VLAN 1 jest identyfikowana jako inside zaś sieć VLAN 2 jako outside.

tryb konfiguracji interfejsu

Jak można zauważyć poniżej zdefiniowana nazwa interfejsu VLAN znajduje odzwierciedlenie w wydanej komendzie: show switch vlan

zdefiniowana nazwa interfejsu VLAN

Rezygnujemy z domyślnej konfiguracji IP i adres interfejsu zostaje zmieniony z adresu 192.168.1.1 na 10.0.0.1 Po zmianie adresu IP zostaje wyświetlony komunikat o jego niezgodności z zdefiniowaną pulą adresów serwera DHCP. Polecenie wydajemy w trybie konfiguracji interfejsu VLAN a składnia polecenia jest taka sama jak na innych urządzeniach CISCO: ip address <adres_IP> <maska_sieci>

zmiana adresu IP

Zmiana adresu IP pociągnęła za sobą wyłączenie serwera DHCP dlatego też aby nowi klienci mogli uzyskać prawidłowe parametry sieci musimy skonfigurować na nowo ustawienia serwera DHCP.

Pulę adresów DHCP definiujemy za pomocą komendy: dhcpd address <początkowy_adres_IP> <końcowy_adres_IP> <nazwa_sieci> Ilość adresów w puli zależna jest od licencji urządzenia w wersji podstawowej maksymalna liczba dostępnych adresów wynosi 32 dlatego też zakres puli został ustawiony od adresu IP 10.0.0.10 do adresu 10.0.0.41 Definicja większego zakresu zakończy się jej ograniczeniem do ilości określonej przez posiadaną licencję.

cisco ASA - definicja puli adresów

Kolejne opcje dotyczą:

1 – czas dzierżawy adresu IP – dhcpd lease <czas> (12 godzin),

2 – adres serwera DHCP – dhcpd dns <adres_IP>,

3 – adres bramy – dhcpd option 3 ip <adres_IP>,

4 – uaktywnienie serwera w kontekście danej sieci – dhcpd enable <nazwa_sieci>

cisco asa - kolejne opcje

Na firewallu CISCO ASA Serwer DHCP został uruchomiony sprawdźmy zatem czy adresy IP są poprawnie przypisywane. Jak widać poniżej stacji klienckiej została dostarczona konfiguracja sieci. Host otrzymał pierwszy adres IP z zdefiniowanej puli, adres bramy oraz serwera DNS są tożsame z tymi zdefiniowanymi podczas konfiguracji serwera DHCP.

sprawdzenie poprawności przypisania

Stan serwera DHCP możemy sprawdzić za pomocą komend:

1 – show dhcpd binding – ilość przypisanych adresów IP wraz z informacją o adresie MAC klienta i czasem wygaśnięcia dzierżawy adresu,

2 – show dhcpd state – ogólny stan usługi serwera DHCP – od strony sieci LAN urządzenie jest serwerem zaś od strony sieci zewnętrznej klientem,

3 – show dhcpd statistics – statystyka serwera DHCP – ilość wysłanych/odebranych pakietów z rozbiciem na ich określony typ.

I tu również jest wszystko w porządku.

Stan serwera DHCP

Serwer DHCP działa, przechodzimy dalej i kolejnym krokiem będzie konfiguracja dostępu z wykorzystaniem serwera WWW.

Aby móc zarządzać routerem CISCO ASA z wykorzystaniem oprogramowania CISCO ASDM (ang. Adaptive Security Device Manager) musimy skonfigurować dostęp do urządzenia z poziomu przeglądarki.

Aby uruchomić serwer http należy w trybie konfiguracji globalnej wydać polecenie: http server enable a następnie określić sieć (można również określić hosty), z poziomu, której dostęp do urządzenia z wykorzystaniem przeglądarki będzie możliwy. Definicję uprawnionych klientów przeprowadzamy za pomocą komendy: http <adres_sieci> <maska_sieci> <nazwa_sieci> W przykładzie poniżej każdy host należący do sieci 10.0.0.0/24 będzie mógł uzyskać dostęp do urządzenia.

określenie sieci

Kompleksowe usługi informatyczne dla firm. Oferujemy: Outsourcing IT, certyfikaty SSL, szkolenia informatyczne oraz audyty bezpieczeństwa.

Zadzwoń i dowiedz się więcej, tel. 68 411 40 00.

Po przeprowadzonej konfiguracji sprawdzamy jej efekt – po uruchomieniu przeglądarki w pasku adresu wpisujemy adres IP firewalla – https://10.0.0.1 (nie zapomnij dodać https). Łączność zostaje nawiązana lecz przeglądarka zgłasza błąd dotyczący certyfikatu – jest to jak najbardziej prawidłowe zachowanie gdyż przeglądarka tego typu certyfikaty zapisane na urządzeniach z reguły traktuje jako nieprawidłowe. Aby nawiązać połączenie (w przypadku Firefox) wybieramy Zaawansowane a następnie Dodaj wyjątek.

nawiązanie połączenia

Po kliknięciu w nowo otwartym oknie potwierdzamy wyjątek bezpieczeństwa.

potwierdzenie wyjątku bezpieczeństwa

Po potwierdzeniu, że na pewno ufamy certyfikatowi zostaje nawiązane połączenie. Na wyświetlonej stronie celem instalacji narzędzia wybieramy Install ASDM Launcher. Po wyborze opcji następuje instalacja aplikacji, która przebiega w sposób standardowy. Ważne jest aby mieć zainstalowane oprogramowanie JAVA, gdyż to na nim opiera się funkcjonowanie narzędzia ASDM.

instalacja aplikacji CISCO ASDM

Aplikacja ASDM została zainstalowana prawidłowo.

Sprawdźmy zatem czy uda się Nam narzędzie uruchomić i nawiązać prawidłowe połączenie. Po wyborze ikony programu musimy zdefiniować adres IP urządzenia oraz podać dane uwierzytelniające (korzystamy z konta użytkownika luk utworzonego w CLI). Wybieramy OK.

podanie danych uwierzytelniających

Po podaniu prawidłowych danych następuje połączenie z firewallem.

połączenie z firewallem

Weryfikację połączenia przy wykorzystaniu narzędzia ASDM możemy sprawdzić za pomocą polecenia: show asdm sessions zaś wersję, która zostanie zainstalowana po wyborze przycisku Install ASDM Launcher poznamy wydając komendę: show asdm image

narzędzia ASDM

Narzędzie ASDM wykorzystamy jeszcze w dalszej części opisu a My powróćmy do wiersza poleceń i przeprowadźmy dalszą konfigurację urządzenia z wykorzystaniem interfejsu tekstowego.

Zanim przejdziemy do konfiguracji sesji zdalnej Telnet oraz SSH jeszcze dwa proste ustawienia.

Zmianę nazwy urządzenia przeprowadzamy w trybie konfiguracji globalnej za pomocą komendy: hostname <nowa_nazwa> Domyślna nazwa ciscoasa została zmieniona na ASA.

Zmiana nazwy urządzenia

Warto jest również ustawić bieżący czas gdyż w przypadku włączonego raportowania znacznie ułatwia to orientowanie się w zapisanych logach. Czas ustawiamy za pomocą polecenia: clock set <00:00:00> <dzień_miesiąc_rok> zaś efekt wydania polecenia sprawdzimy za pomocą komendy: show clock

ustawienie bieżącego czasu - clock set

Część konfiguracji routera CISCO ASA mamy już za sobą. Przechodzimy do konfiguracji zestawienia połączenia zdalnego. Rozpoczniemy od połączenia Telnet. Już wiele razy zaznaczałem, iż nie jest to do końca dobry pomysł gdyż wszystkie poświadczenia wprowadzane podczas tego typu sesji są przesyłane jawnie, co w przypadku sytuacji przechwycenia pakietów powoduje przez atakującego przechwycenie danych uwierzytelniających. Dlatego też warto jak już musimy korzystać z tego typu rozwiązania zdefiniować adresy hostów z których takie połączenie może zostać wykonane (wprawdzie nie uchroni Nas to przed utratą hasła w przypadku prowadzenia podsłuchu przez atakującego ale uniemożliwi wykonanie procesu logowania z dowolnej maszyny dostępnej w sieci). I tak też właśnie uczynimy.

Aby skonfigurować sesję Telnet rozpoczynamy od zdefiniowania hasła, które zostanie użyte podczas jej nawiązywania. Hasło określamy za pomocą polecenia: password <hasło> W następnym kroku za pomocą komendy: telnet <adres_ip> <maska> <nazwa_sieci> konfigurujemy adresy IP hostów, które to połączenie będą mogły zestawić. W przykładzie poniżej nawiązać połączenie może tylko host 10.0.0.10 gdyż użyta maska 255.255.255.255 ma dopasowanie tylko do tego adresu. Dodatkowo czas automatycznego rozłączenia sesji (gdy nic się nie dzieje) za pomocą polecenia: timeout <czas> został ustawiony na 3 minuty (domyślnie 5 minut).

konfiguracja telnet

Ustawienia Telnet można zweryfikować za pomocą komendy: show running telnet

konfiguracja telnet

Sesja Telnet została skonfigurowana czas przetestować ją w działaniu. Połączenie zostaje nawiązane z hosta 10.0.0.10 jak widać poniżej wszystko przebiegło pomyślnie. Stan aktualnych połączeń możemy zweryfikować po wydaniu komendy: who

Stan aktualnych połączeń

Aby sesję przerwać posługujemy się poleceniem: kill <numer_sesji> Poniżej administrator zamyka sesję o identyfikatorze 0. Po wydaniu komendy połączenie z hostem zostaje natychmiast przerwane.

Przerwanie sesji

Podczas nawiązywania połączenia celem autoryzacji należało podać hasło zdefiniowane za pomocą komendy: password <hasło> aby wymusić logowanie z uwzględnieniem lokalnej bazy użytkowników należy wydać dodatkowe polecenie: aaa authentication telnet console LOCAL Od tej pory podczas nawiązywania połączenia będziemy musieli podać nazwę użytkownika oraz hasło. Niżej zamieszczono przykład w którym do zalogowania wykorzystano wcześniej zdefiniowane konto użytkownika luk.

logowanie z uwzględnieniem lokalnej bazy użytkowników

Połączenie Telnet działa przechodzimy do SSH.

Do zestawienia połączenia również wykorzystamy konto użytkownika luk. Aby sprawdzić listę utworzonych kont możemy posłużyć się komendą: show aaa local user Aby móc przy pomocy tego konta uzyskać zdalny dostęp do urządzenia wydajemy polecenie nakazujące weryfikację połączenia z wykorzystaniem lokalnej bazy użytkowników (tak samo jak w przypadku telnet): aaa authentication ssh console LOCAL

zestawienie połączeń

Wymuszenie logowania za pomocą kont zapisanych w bazie dla połączenia konsolowego wykonamy po wydaniu komendy: aaa authentication serial console LOCAL

By połączenie SSH doszło do skutku musimy wygenerować klucz, który zostanie użyty do zabezpieczenia naszego połączenia – klucz generujemy wydając polecenie: crypto key generate rsa modulus <długość_klucza> W przypadku istnienia takiego klucza musimy potwierdzić jego zamianę.

crypto key generate rsa modulus

Ostatnią czynnością jest określenie wersji protokołu SSH (ssh ver <wersja_protokołu>) i określenie adresów hostów, które połączenie mogą nawiązać (ssh <adres_IP> <maska_sieci> <nazwa_sieci>).określenie wersji protokołu SSH

Poprawność wszystkich ustawień zweryfikujemy wydając instrukcje: show ssh

show ssh - weryfikacja ustawień

Konfiguracja dobiegła końca ostatni test to próba nawiązania połączenia. Do zestawienia sesji zostaje użyta aplikacja PuTTY (podczas pierwszego połączenia musimy zatwierdzić odcisk klucza – wybieramy TAK).

próba nawiązania połączenia - aplikacja putty

Aby kontynuować należy podać poświadczenia użytkownika luk. Weryfikację sesji dokonamy za pomocą komendy: show ssh session (komenda: who w przypadku SSH nie działa).

show ssh session - weryfikacja sesji

Po stronie sieci LAN podstawową konfigurację mamy wykonaną czas by umożliwić naszej sieci dostęp do Internetu. Łączność z siecią Internet zapewniona jest dzięki interfejsowi e0/0 tak więc nasze ustawienia rozpoczniemy od tego interfejsu.

Po przejściu do trybu konfiguracji interfejsu, port e0/0 przypisujemy do VLAN-u 2 – switchport access vlan <numer>. Aby interfejs uaktywnić należy wydać polecenie: no shutdown

no shutdown aktywacja interfejs

Ponieważ interfejs routera CISCO ASA e0/0 został włączony do sieci VLAN 2 kolejne czynności przeprowadzimy w trybie konfiguracji interfejsu VLAN 2. Ponieważ adres IP interfejsowi ma zostać przydzielony od strony ISP, dlatego też port musi pracować w trybie klienta DHCP. Aby interfejs urządzenia mógł automatycznie uzyskać adres IP należy posłużyć się poleceniem: ip address dhcp Konfigurowany port znajduje się poza naszą „strefą wpływów” dlatego też za pomocą komendy: security-level <wartość> zostaje zdefiniowany najniższy możliwy poziom zaufania, dodatkowo alias interfejsu przyjmuje nazwę: INTERNET

zdefiniowany najniższy możliwy poziom zaufania

Weryfikację wprowadzonych ustawień przeprowadzamy z wykorzystaniem instrukcji: show interface vlan 2 Interfejsowi został przypisany adres IP 192.168.1.102

Weryfikacja wprowadzonych ustawień

Łączność z routerem jest zapewniona. Wydanie polecenia ping kończy się sukcesem.

polecenie ping - łączność z routerem

Przypisane interfejsom adresy IP dodatkowo sprawdzimy przy wykorzystaniu komendy: show ip

show ip

Kolejnym krokiem jest zapewnienie dostępu do Internetu. W pierwszej kolejności rozpoczniemy od samego urządzenia. Jak można zauważyć po analizie zrzutu poniżej firewall nie może komunikować się z siecią zewnętrzną gdyż nie zna „drogi” która posłuży mu do przesłania pakietów. Test ping z wykorzystaniem adresów IP 8.8.8.8 oraz 4.2.2.2 kończy się niepowodzeniem (No route to host …). Zmieńmy to i wskażmy urządzeniu trasę, którą pakiety będą mogły podróżować, tak by osiągnąć cel.

No route to host

Ponieważ urządzenie odpowiedzialne jest za routowanie pakietów dlatego po wydaniu polecenia: show route poznamy adresy IP sieci do których może być prowadzona komunikacja. Do firewalla bezpośrednio zostały podłączone dwie sieci 10.0.0.0/24 (LAN) oraz 192.168.1.0/24 (INTERNET)

show route - adresy IP

Aby pakiety mogły być swobodnie przesyłane od strony sieci LAN w kierunku Internetu musimy zdefiniować statyczną trasę zerową, która swym działaniem obejmie wszystkie możliwe adresy IP. Trasę taką wprowadzimy do tablicy routingu za pomocą polecenia: route <nazwa_interfejsu_zewnętrznego> <adres_IP> <maska> <adres_następnego skoku> Po wydaniu komendy wszystkie pakiety, które nie zostaną dopasowane do adresów sieci innych tras zostaną przesłane z wykorzystaniem trasy zerowej w kierunku adresu następnego skoku (w Naszym przypadku jest to adres IP 192.168.1.1).

definicja statyczna trasy zerowej

Weryfikację dodania trasy wykonamy wydając powtórnie polecenie: show route

Weryfikacja dodania trasy - show route

Urządzenie ASA uzyskało dostęp do sieci Internet. Jak widać poniżej ponowny test ping w połączeniu z adresami IP 4.2.2.2 oraz 8.8.8.8 tym razem kończy się sukcesem.

test ping

Aby hosty znajdujące się w sieci LAN mogły nawiązać połączenie z siecią Internet musimy dodatkowo skonfigurować NAT. Ponieważ najczęściej wykorzystywaną metodą translacji adresów jest PAT (ang. Port Address Translation – jeden publiczny adres IP pod którym są dostępne pozostałe hosty) tak więc tę metodę omówimy.

BHPEX oferuje usługi informatyczne dla firm. W swojej ofercie posiadamy Outsourcing IT, wdrożenie Firewall, szkolenia informatyczne, audyty bezpieczeństwa i wiele innych.

Zadzwoń i dowiedz się więcej, tel. 68 411 40 00.

Konfigurację PAT rozpoczynamy od definicji obiektu: object network (obiekt jest to zbiór ustawień) za pomocą polecenia: object network <nazwa_obiektu> (polecenie wydajemy w trybie konfiguracji globalnej) – punkt 1. Po wydaniu polecenia przechodzimy do przypisania ustawień, które dany obiekt będą charakteryzować. Za pomocą polecenia subnet <adres_sieci> <maska> (punkt 2) określamy sieć co do której będą stosowane reguły translacji. Ostatnim krokiem jest wskazanie nazw interfejsów, które w translacji będą uczestniczyć. Czynność tą wykonamy za pomocą komendy: nat (<nazwa_interfejs_wewnętrzny>,<nazwa_interfejs_zewnętrzny>) dynamic interface (punkt 3). Translacja adresów z wykorzystaniem PAT została skonfigurowana.

Konfiguracja PAT

Konfigurację NAT zweryfikujemy wydając polecenie: show nat

Konfiguracja NAT

Zaś dokładne informacje dotyczące działania mechanizmu NAT możemy uzyskać wyświetlając za pomocą polecenia: show xlate aktualną tablicę translacji.

aktualna tablica translacji NAT

Po wykonaniu tych wszystkich czynności hosty znajdujące się w sieci wewnętrznej powinny uzyskać dostęp do Internetu (nie weryfikuj dostępu do sieci Internet z wykorzystaniem ping gdyż test ten zakończy się niepowodzeniem – wykorzystaj przeglądarkę).

Te podstawowe, przedstawione przeze mnie polecenia pozwolą Ci czytelniku na skonfigurowanie z powodzeniem urządzenia CISCO ASA. Na tym etapie kończymy korzystanie z trybu wiersza poleceń.

Omówienie trybu graficznego w CISCO ASA

Kilka linijek wyżej zainstalowaliśmy oprogramowanie ASDM, które umożliwia nam konfigurację urządzenia z wykorzystaniem GUI. Prześledźmy zatem jak skonfigurować Cisco ASA z wykorzystaniem tego narzędzia. Lecz zanim przejdziemy do właściwych ustawień, zatrzymajmy się chwilkę by omówić interfejs programu.

Po uruchomieniu programu i poprawnym zalogowaniu się do urządzenia zostanie wyświetlone główne okno aplikacji, które podzielone jest na dwie zakładki: Device Dashboard oraz Firewall Dashboard.

Na pierwszej zakładce zostały zaprezentowane takie informacje jak:

  • Device Information – podstawowe dane o urządzeniu – nazwa, wersje oprogramowania (firmware urządzenia, ASDM), czas uruchomienia, tryb pracy czy ilości pamięci. Na zakładce License znajdziesz informacje o typie posiadanej licencji,
  • VPN Session – informacje o nawiązanych sesjach VPN,
  • System Resources Status – wykresy ukazujące stopień wykorzystania komponentów urządzenia (CPU, pamięć),
  • Interface Status – aktywne interfejsy sieciowe – ich stan, przypisane adresy IP i ilość przesyłanych informacji,
  • Trafic Status – statystyka ruchu sieciowego,
  • Latest ASDM Sysylog Messages – komunikaty syslog (stan urządzenia) – okno aktywne po wybraniu opcji Enable Logging.

główne okno aplikacji - CISCO ASDM

Kompleksowe usługi informatyczne dla firm. Oferujemy: Outsourcing IT, certyfikaty SSL, szkolenia informatyczne oraz audyty bezpieczeństwa.

Zadzwoń i dowiedz się więcej, tel. 68 411 40 00.

Zakładka Firewall Dashboard dostarczy Nam informacje o:

Traffic Overview – wykresy reprezentujące statystykę prowadzonych połączeń wraz z informacją o pakietach, które przez urządzenie zostały odrzucone i prawdopodobnych próbach ataku.

Top 10 … – najczęściej zaistniałe zdarzenia – zdarzenia te dotyczą list ACL, które miały zastosowanie, wykorzystywanych adresów IP (źródło, cel), aktywnych użytkowników czy hostów.

Firewall Dashboard - CISCO ASDM

Do wszystkich opcji narzędzia i oferowanych funkcji oprogramowania ASDM dla CISCO ASA możemy dostać się wykorzystując do tego górne menu oraz zestaw ikon dostępnych na pasku zadań.

Przyjrzyjmy się więc opcją dostępnym w górnym menu.

Menu zostało podzielone na 6 kategorii po rozwinięciu, których uzyskujemy dostęp do opcji bardziej zaawansowanych.

1 – File – wybranie tej pozycji umożliwi nam wykonanie takich zadań jak: odświeżenie okna narzędzia ASDM, przywrócenie ustawień fabrycznych urządzenia, wgląd oraz zapis konfiguracji bieżącej urządzenia czy wyczyszczenie pamięci podręcznej.

2 – View – dostosowywanie widoków, przejście do ekranów konfigurujących bądź monitorujących stan urządzenia czy utworzenie zakładek po wyborze których mamy szybki dostęp do najczęściej wykorzystywanych ekranów,

3 – Tools – po rozwinięciu menu uzyskamy możliwość skorzystania z wielu narzędzi ułatwiających wykonanie Nam podstawowych czynności administracyjnych i tak: przy pomocy narzędzi ping, traceroute, packet tracer zbadamy osiągalność hostów, wykonamy backup i import ustawień, dokonamy aktualizacji oprogramowania, wymusimy ponowny rozruch urządzenia, wykonamy podstawowe operacje plikowe (kopiowanie, usuwanie plików) czy przy pomocy wiersza linii poleceń wydamy dowolne polecenie.

4 – Wizards – zestaw kreatorów, które pozwolą Nam na przeprowadzenie konfiguracji urządzenia krok po kroku odpowiadając na poszczególne pytania np. podstawowa konfiguracja CISCO ASA czy konfiguracja połączenia VPN.

5 – Window – lista aktywnych okien, możliwość przełączania się pomiędzy nimi,

6 – Help – dostęp do pomocy.

funkcje oprogramowania ASDM - menu górne

Opcje dostępne na zakładkach (od lewej) pozwalają na:

  • Home – ekran startowy.
  • Configuration – przejście do konfiguracji urządzenia, po wyborze tej ikony dostępne są kolejne, które umożliwiają skonfigurowanie poszczególnych parametrów pracy firewalla. Dostęp do kolejnych ekranów realizowany jest poprzez wybór poszczególnych gałęzi reprezentujących daną grupę ustawień. Dostępne są następujące pozycje:
  • Device Setup – podstawowe ustawienia urządzenia, z poziomu tej ikony uzyskamy dostęp do opcji związanych z interfejsami, routingiem (statycznym, dynamicznym), nazwą urządzenia, przypisaniem haseł czy czasem.

Opcje dostępne na zakładkach - konfiguracja

Firewall (zapora ogniowa) – ta grupa ustawień dotyczy konfiguracji mechanizmu NAT, list dostępu ACL czy zarządzania certyfikatami.

Opcje dostępne na zakładkach - firewall

Remote Access VPN – konfiguracja dostępu do sieci z wykorzystaniem tuneli VPN dla użytkowników zdalnych.

Opcje dostępne na zakładkach - remote Access VPN

Site-to-Site VPN – konfiguracja tunelu VPN, którego zadaniem jest połączenie ze sobą dwóch oddalonych od siebie sieci.

konfiguracja tunelu VPN

Device Management – grupa opcji, których zadaniem jest konfiguracja opcji związanych z dostępem do urządzenia (tworzenie użytkowników oraz nadawanie im uprawnień, mechanizm AAA oraz RADIUS). Ponadto znajdziesz tu również ustawienia dotyczące ustawień serwerów DHCP czy DNS.

Konfiguracja - Device Management

Monitoring – jak sama nazwa wskazuje grupa kart odpowiedzialnych za monitorowanie stanu urządzenia. Poszczególne parametry pracy firewalla zostały zgrupowane na odpowiednich kartach, gdzie przeglądając je uzyskujemy wiedzę o aktualnym stanie urządzenia (prowadzone zadania, konfiguracja czy wykorzystanie zasobów).

Pierwsza karta Interface informuje Nas o statusie interfejsów – znajdziemy tu informacje o adresach IP (statycznych i dynamicznych), zyskamy wgląd w tablicę protokołu ARP czy poznamy stopień wykorzystania pasma (ilość wysyłanych/odbieranych pakietów przez dany interfejs).

Monitoring - status interfejsów

Karta VPN poinformuje Nas o stanie nawiązanych połączeń VPN wraz z bardzo bogatą statystyką pakietów jakie są wymieniane podczas nawiązanych sesji.

Stan nawiązanych połączeń VPN

Ponieważ jedną z funkcji urządzenia jest możliwość prowadzenia routingu na karcie Routing zostały zebrane wszystkie informacje związane z tą funkcjonalnością urządzenia (informacje związane z protokołami routingu dynamicznego OSPF oraz EIGRP).

Prowadzenie routingu na karcie Routing

Karta Properties zawiera informację związane z aktualnie nawiązanymi sesjami z urządzeniem, użytkownikach, serwerach AAA, wykorzystaniu zasobów urządzenia (procesor, pamięć) czy tablicy translacji.

Karta Properties - Monitoring

Celem rozwiązania problemów z konfiguracją czy samym urządzeniem możemy skorzystać z karty Logging gdzie w czasie rzeczywistym możemy przeglądać logi urządzenia co daje Nam wgląd w aktualnie prowadzone zadania i realizowane funkcje.

Karta Logging

Pozostałe przyciski dostępne na pasku zadań pozwalają na:

  • Save – zapisane konfiguracji.
  • Refresh – odświeżenie ustawień.
  • BackForward – przejście pomiędzy ostatnio używanymi ekranami.
  • Help – dostęp do pomocy.

Podstawowa konfiguracja urządzenia CISCO ASA

Omówiliśmy interfejs programu, wykonajmy zatem podstawową konfigurację urządzenia – do tego celu wykorzystamy kreator: Startup Wizard. Kreator uruchomimy klikając na opcję Startup Wizard dostępną w menu Wizards.  Alternatywą jest wybranie pozycji Configuration a następnie Device Setup i ikony Launch Startup Wizard.

kreator Startup Wizard

Pierwszy krok (a jest ich 9) uruchomionego kreatora to pytanie – czy chcemy przywrócić urządzenie do ustawień fabrycznych (ang. Reset configuration to factory defaults) czy wykonać modyfikację istniejącej konfiguracji (ang. Modify existing configuration). Wybieramy opcję pierwszą (urządzenie zostało zresetowane do ustawień fabrycznych, rozpoczynamy od konfiguracji domyślnej).

Startup Wizard

Krok drugi to określenie nazwy urządzenia oraz nazwy domeny (jeśli takowa istnieje – jeśli nie pole zostawiamy puste). Na tym etapie możemy również zdefiniować hasło wejścia do tryb uprzywilejowanego. W tym celu zaznaczamy opcję: Change privileged mode (enable) password i w polu New Password definiujemy hasło. Hasło potwierdzamy wpisując je ponownie w polu: Confirm New Password. Ponieważ w konfiguracji początkowej hasło do trybu enable nie jest zdefiniowane dlatego pole: Old Password pozostawiamy puste.

Startup Wizard

Kolejne okno Interface Selection służy do przypisania identyfikatora sieci VLAN do interfejsu sieci zewnętrznej (outside, sieć Internet, domyślny poziom zabezpieczeń 0) oraz określenie sieci VLAN będącej po stronie LAN (inside, domyślny poziom zabezpieczeń 100). Zaproponowane opcje możemy pozostawić, jeśli zaś chcesz utworzyć nową sieć VLAN wybierz opcję: Create new VLAN. Uaktywnienie VLAN-ów dokonujemy poprzez zaznaczenie opcji: Enable VLAN.

Startup Wizard

Krok czwarty pozwala na przypisanie fizycznych interfejsów zapory ogniowej (firewalla) do zdefiniowanych w kroku poprzednim sieci VLAN. Przynależność interfejsów do danej sieci VLAN zrealizujesz za pomocą przycisków Add oraz Remove Interfejsy określasz dla każdej z sieci VLAN oddzielnie.

Startup Wizard

Karta Interface IP Address Configuration odpowiedzialna jest za definicję adresów IP pod którymi będą dostępne sieci VLAN. Sposób adresacji określamy osobno dla sieci zewnętrznej oraz wewnętrznej. Ponieważ adres IP dla sieci VLAN outside ma zostać skonfigurowany automatycznie została wybrana opcja: Use DHCP. Zaznaczenie pola: Obtain default route using DHCP pozwoli automatycznie uzyskać informację o trasie statycznej (opcja musi być wspierana przez serwer DHCP).

Adres IP po stronie sieci LAN definiujemy sami. Tak jak w przypadku wykonanej konfiguracji z użyciem wiersza poleceń zostaje wybrany adres IP 10.0.0.1 w połączeniu z maską 255.255.255.0

Startup Wizard

Krok 6 to decyzja o uruchomieniu serwera DHCP po stronie interfejsu wewnętrznego. Aby serwer mógł zacząć przydzielać adresy IP hostom znajdującym się w sieci LAN zaznaczamy opcję: Enable DHCP server on the inside interface Po wyborze opcji pola dotyczące dostarczanych adresów IP zostaną uaktywnione. Definiujemy następujące pola:

Starting IP Address oraz Ending IP Address – definicja puli adresowej z której serwer DHCP będzie mógł przydzielać adresy IP (pamiętamy o ograniczeniu do 32 adresów IP w przypadku licencji standardowej),

DNS Server – adres serwera DNS.

W przypadku naszej ćwiczebnej topologii wystarczy określenie opcji zaprezentowanych powyżej, oczywiście wpisane adresy IP dostosowujemy do środowiska sieciowego w którym urządzenie ma pracować.

Nie wszystkie opcje serwera DHCP można określić za pomocą tej karty dlatego też celem doprecyzowania ustawień będzie trzeba przeprowadzić dalszą konfigurację po zakończeniu pracy kreatora.

Startup Wizard

Kolejna porcja ustawień dotyczy konfiguracji mechanizmu translacji adresów IP. Aby uruchomić funkcję zaznaczamy opcję: Use Port Address Translation (PAT) – zaznaczenie ustawienia spowoduje uruchomienie PAT (jeden publiczny adres a wielu użytkowników).

Startup Wizard

Karta Administrative Access jest odpowiedzialna za określenie adresów IP z których będzie możliwy dostęp do urządzenia. Domyślnie zakres adresów IP obejmuje całą sieć w której znajduje się interfejs wewnętrzny. Aby zdefiniować konkretne adresy IP wybierz przycisk Edit. Aby dostęp do urządzenia z wykorzystaniem przeglądarki był możliwy musi być zaznaczona opcja: Enable HTTP Server for HTTPS/ASDM access

Startup Wizard

Krok ostatni konfiguracji CISCO ASA to podsumowanie ustawień, które zostaną przesłane do urządzenia. W przypadku stwierdzenia, poprawności przeprowadzonej konfiguracji wybieramy Finish. Rozpoczyna się konfiguracja zapory ogniowej (firewalla).

Startup Wizard

Podczas stosowania ustawień możemy zostać poproszeni o hasło – wpisujemy zdefiniowane hasło dostępu do trybu uprzywilejowanego (pole Username pozostawiamy puste).

hasło dostępu ASDM

Konfiguracja urządzenia dobiegła końca.

Aby wszystko poprawnie działało musimy dodać jedno z ustawień serwera DHCP – informacja o rozgłaszaniu adresu IP bramy domyślnej. Aby to zadanie wykonać przechodzimy do karty Configuration/Device Management a następnie z lewej strony rozwijamy gałąź DHCP i klikamy na DHCP Server (punkt 1). W oknie po prawej wyświetli się pula adresów IP jaka została przydzielona do rozdysponowania klientom. Wybieramy pulę i klikamy na przycisk Edit (punkt 2). W nowo otwartym oknie Edit DHCP Server wybieramy przycisk Advanced (punkt 3). Po otwarciu kolejnego okna Advanced DHCP Options i po rozwinięciu listy Option Code (punkt 4) należy odszukać pozycję numer 3 po wyborze, której określamy adres IP bramy domyślnej. Całość ustawień zatwierdzamy przyciskiem OK.

ustawienia serwera DHCP

Kolejnym ustawieniem, które musimy określić to dodanie domyślnej trasy statycznej tak aby była możliwość prowadzenia routingu pomiędzy siecią lokalną a siecią, która ma dostęp do Internetu. Aby określić trasę statyczną  wybieramy kartę Configuration a następnie Device Setup. W kroku kolejnym przechodzimy do gałęzi Routing/Static Routes (punkt 1). Po zaznaczeniu gałęzi celem dodania nowego wpisu wybieramy przycisk Add (punkt 2). W nowo otwartym oknie Add Static Route w polu Interface wybieramy interfejs zewnętrzny (punkt 3). Po wyborze interfejsu kolejnym krokiem jest zdefiniowanie adresu sieci. W tym celu w polu Network wybieramy ikonę oznaczoną trzema kropkami i w nowo otwartym oknie Browse Network wybieramy trasę zerową (oznaczoną samymi zerami – punkt 4). Całość zatwierdzamy przyciskiem OK. Po powrocie do okna Add Static Route uzupełnij pole Gateway IP, definiując tym samym adres IP bramy domyślnej (punkt 5).

ustawienia różne

Zmianę nazwy interfejsów wraz z konfiguracją sieciową wykonamy na ekranie Interfaces dostępnym po wyborze Configuration/Device Setup

Interfaces

Ostatnią czynnością jest wykonanie konfiguracji translacji (translację ustawiliśmy w jednym z kroków kreatora lecz nie zawsze to wystarcza). Konfigurację tą wykonamy na ekranie Nat Rules (Configuration/Firewall). Rozpoczynamy od wybrania przycisku Add a następnie Add Network Object Nat Rule W nowo otwartym oknie w polu Name określamy nazwę obiektu, typ reguły ustawiamy na Network oraz definiujemy sieć co do której translacja ma być stosowana (pola IP Address oraz Netmask). Ponieważ wykorzystywaną metodą translacji jest PAT dlatego też w polu Type (sekcja NAT) wybieramy Dynamic PAT (Hide). Pole Translated Addr powinno wskazywać interfejs zewnętrzny. Po całości przeprowadzonych ustawień upewniamy się, że translacja odbywa się pomiędzy siecią wewnętrzną a zewnętrzną CISCO ASA wybierając pozycję Advanced.

konfiguracja translacji

Hosty znajdujące się w sieci wewnętrznej uzyskały możliwość komunikacji z siecią Internet.

W trybie wiersza poleceń dostęp zdalny do urządzenia skonfigurowaliśmy dla sesji Telnet oraz SSH. Tę samą operację z wykorzystaniem trybu GUI przeprowadzimy na ekranie: Configuration/Device Management/Management Access/ASDM/HTTPS/Telnet/SSH Nową sesję (również włączenie serwera HTTP) wykonamy po kliknięciu na ikonę Add. W nowo otwartym oknie definiujemy typ sesji, interfejs przez który nastąpi połączenie oraz sieć która z danego typu połączenia ma prawo korzystać. W dolnej części ekranu skonfigurujesz ustawienia dodatkowe tj. czas bezczynności, wersję użytych protokołów czy użyte porty.

ustawienia asdm

Gdy wszystko działa jak należy warto wykonać backup konfiguracji. Opcje odpowiedzialne za wykonanie zapisu kopii ustawień (i ich przywrócenie) odnajdziemy po wybraniu z menu Tools.

backup konfiguracji

Aby wykonać backup należy kliknąć Backup Configuration. Wybieramy kopię całościową bądź jej składniki określamy sami.

Backup Configuration

Po określeniu lokalizacji zapisu, proces tworzenia kopii rozpocznie się po wybraniu przycisku Backup.

proces tworzenia kopii

Po skończonym procesie zostanie wyświetlone podsumowanie.

Statystyki podsumowania

Utworzoną kopię można przywrócić wybierając Restore Configuration

Restore Configuration

Po wskazaniu pliku przywracania określamy, które z ustawień ma zostać przywrócone.

określenie które z ustawień ma zostać przywrócone

Tego, kto choć raz utracił swoje dane nie trzeba przekonywać do wykonywania regularnych backupów ale prócz kopii warto jeszcze zadbać o aktualizację oprogramowania. Stosowne opcje odnajdziemy również wybierając z menu opcję Tools.

Najprostszym sposobem wykonania kopii jest użycie Check for ASA/ASDM Updates. Urządzenie cały proces wykona za Nas – sprawdzi dostępność nowego oprogramowania, pobierze i zainstaluje je. Jednak by móc z tej opcji skorzystać musimy mieć aktywny suport – niezbędne jest logowanie w serwisie producenta.

Gdy suportu nie posiadamy o stosowne pliki aktualizacyjne musimy zadbać sami.

Wybierając z menu Tools opcję Upgrade Software from Local Computer przeprowadzimy proces aktualizacji firmware oraz narzędzia ASDM. Możliwy jest również powrót do wersji wcześniejszych po wybraniu Downgrade Software.

proces aktualizacji firmware

Użycie Cisco ASDM nie jest jedynym sposobem aktualizacji, dlatego też przedstawię dwie jego odsłony: akt pierwszy aktualizacja firmware CISCO ASA przy użyciu ASDM, akt drugi aktualizacja ASDM przy użyciu serwera TFTP.  Obie metody można stosować zamiennie.

Rozpoczynamy od aktualizacji firmware, posiadaną wersję 9.0(4) zaktualizujemy do 9.2(2)4. Po wybraniu Upgrade Software from Local Computer w pozycji Image to Upload wskazujemy ASA. Krok następny to wskazanie pliku zawierającego nowe oprogramowanie. Pozycja Flash File System Path zostanie uzupełniona automatycznie. Gdy lokalizacja zapisu Nam odpowiada wybieramy Upload Image.

lokalizacja zapisu

Następuje proces kopiowania.

proces kopiowania

Aby przy kolejnym uruchomieniu urządzenia plik mógł zostać załadowany – odpowiadamy twierdząco.

upgrade software ASA

upgrade software information

Aby ponownie uruchomić urządzenie z menu Tools wybieramy System Reload.

System Reload - ponowne uruchomienie urządzenia

Dostępny zestaw opcji pozwala również zaplanować czas ponownego uruchomienia urządzenia.

zaplanowanie czasu ponownego uruchomienia urządzenia

Aby zrestartować firewalla CISCO ASA należy wybrać przycisk Details… i na kolejnym ekranie Force Imediate Reload.

reload status

Proces restartu i ładowania nowej wersji firmware można obserwować po zestawieniu połączenia konsolowego.

połączenie konsolowe

połączenie konsolowe

Alternatywnym sposobem jest użycie serwera TFTP.

Procedurę rozpoczynamy od uruchomienia serwera TFTP na komputerze, z którego pliki będą kopiowane. Posłużyć możemy się darmowym narzędziem Tftpd64.

Po uruchomieniu aplikacji za pomocą przycisku Browse określamy lokalizację plików. Użycie Show Dir wyświetli udostępnione pliki.

określenie lokalizacji plików

Po zestawieniu sesji z konsolą urządzenia należy wydać polecenia:

1 – copy tftp: flash: – rozpoczynamy kopiowanie, źródłem plików jest serwer TFTP a miejscem docelowym pamięc flash urządzenia,

2 – adres IP serwera TFTP (użyto: 10.0.0.10);

3 – nazwa kopiowanego pliku (kopiowany plik: asdm-771.bin);

4 – pozostawiamy lokalizację domyślną, zatwierdzamy enterem.

Polecenie po zestawieniu sesji z konsolą urządzenia

Rozpoczyna się proces kopiowania.

proces kopiowania

Jego efekt możemy również obserwować w oknie aplikacji Tftpd64.

okno aplikacji Tftpd64

Po wykonaniu kopiowania za pomocą polecenia dir wyświetlimy listę plików. Aby móc skorzystać z nowej wersji narzędzia ASDM należy wydać polecenie: asdm image <ścieżka_do pliku> W przypadku pliku firmware używamy komendy: boot system <ścieżka_do pliku>

wyświetlenie listy plików

Nowa wersja oprogramowania ASDM dla CISCO ASA jest dostępna – podczas następnego użycia narzędzia nastąpi jego aktualizacja.

Nowa wersja ASDM

Aktualizacja obu narzędzi zakończyła się powodzeniem.

Aktualizacja obu narzędzi

Na koniec jeszcze jedno krótkie zagadnienie.

Celem diagnostyki stanu połączenia CISCO ASA często wykorzystujemy polecenie ping niestety w konfiguracji domyślnej nie uda Nam się spingować hostów znajdujących się po stronie interfejsu zewnętrznego gdyż ruch ICMP jest blokowany. Aby uzyskać możliwość badania dostępności hostów przy wykorzystaniu protokołu ICMP musimy na czynność tą jawnie zezwolić poprzez definicję listy ACL, która tego typu pakietów nie będzie filtrować.

Poniżej przykład – test ping hosta wp.pl kończy się niepowodzeniem.

test ping hosta wp.pl

Zezwólmy zatem na ruch pakietów ICMP tak aby test ten zakończył się sukcesem.

Ogólna składnia polecenia utworzenia listy ACL jest taka sama jak w przypadku konfigurowania jej na routerze lecz są dwie drobne różnice:

  • polecenie nakazujące utworzenie listy ACL wydajemy w trybie konfiguracji globalnej a nie jak to było w przypadku routerów w trybie konfiguracji interfejsu,
  • nie używamy maski wildcard tylko maskę standardową.

Aby utworzyć listę ACL wydajemy poniższe polecenia. Pierwsze tworzy listę ACL o numerze 105, która zezwala na ruch ICMP z dowolnego hosta do dowolnego adresu IP pod warunkiem, że jest to odpowiedź na zapytanie ICMP (pakiet: ICMP Echo Request). Polecenie drugie przypisuje utworzoną listę do interfejsu zewnętrznego i ustala jej kierunek działania na wejście.

tworzenie listy ACL

Po wydaniu tych dwóch poleceń ponowny test ping kończy się sukcesem.

ponowny test ping

Nazywam się Rafał Wielgus, jestem informatykiem oraz międzynarodowym audytorem wiodącym ISO 27001. Świadczę kompleksowe usługi z zakresu bezpieczeństwa teleinformatycznego, wdrażam systemy z rodziny „IT security”, skutecznie nadzoruję RODO, prowadzę szkolenia oraz audyty.

Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.

 

Komentarze (0)

Dodaj komentarz