Cisco ASA

Firewall
Guia Prtico

2014

v1.0
Renato Pesca

1 Sumrio
2

Topologia ............................................................................................. 3

Preparao do Appliance ..................................................................... 3

3.1 Configuraes de Rede .................................................................. 7
3.2 Configuraes de Rotas.................................................................. 8
3.3 Root Bsico .................................................................................... 9
3.4 CLI no ASDM ................................................................................ 11
3.5 Gerenciador de Arquivos ............................................................. 13

Licena do Appliance .......................................................................... 14

Integrao entre Redes ...................................................................... 15

Sincronismos Utilizados...................................................................... 15

Objetos .............................................................................................. 16
7.1 Network Objects/Groups ............................................................. 16
7.2 Service Objects/Groups................................................................ 17

NAT .................................................................................................... 19
8.1 Tipos de NAT ................................................................................ 21
8.2 Verificao de NAT na CLI ............................................................ 22
8.3 Estado das Conexes ................................................................... 22

ACL ..................................................................................................... 23
9.1 Global Access Lists ....................................................................... 25

10

Public Servers .................................................................................. 26

11

Features .......................................................................................... 28

12

Backup e Restore ............................................................................ 28

12.1

Backup ...................................................................................... 28

12.2

Restore ..................................................................................... 31

13

Troubleshooting .............................................................................. 35

2 Topologia

Figura 1: Topologia

3 Preparao do Appliance
Nesta seo adicionamos o mnimo de configurao necessria para
acesso remoto.
Conectando via console, temos acesso global ao equipamento:

Figura 2: Acesso global em modo texto

O comando show permite a realizao de diversas verificaes que o

auxiliaro na resoluo de um problema. Segue abaixo um exemplo:

Figura 3: Mostra contedo da memria flash

Outro exemplo de comando relevante o show bootvar, que mostrar

os arquivos de configurao durante o boot:

Figura 4: Variveis de boot

A configurao descrita abaixo prepara o appliance para acesso remoto

via ASDM:

Figura 5: Configurao de acesso remoto

Observe que os comandos so bem prximos daqueles executados em

roteadores. Atente-se que cada interface recebe um nome e um ID
relacionado sua segurana (quanto maior o ID, maior segurana
associada interface).
O comando http server enable ativa o acesso remoto via ASDM, e o
http 0.0.0.0 0.0.0.0 externa significa que poderemos acessar o appliance

de qualquer rede (0.0.0.0/0.0.0.0) a partir da interface externa para

administr-lo. Um usurio foi criado para isso, no caso, cisco.
Baseados em nossa topologia, acessaremos a interface de administrao
pela primeira vez em https://192.168.137.2/admin, onde poderemos
baixar o ASDM e instalar na estao (voc deve ter o privilgio de
administrador para isso) ou execut-lo sem instalar (dependendo das
polticas de segurana de sua organizao pode ser necessrio solicitar
liberao da execuo deste programa).
Utilizando o usurio cisco voc ser conduzido seguinte interface:

Figura 6: Tela inicial da interface de administrao

Caso seja necessrio adicionar mais usurios, isso pode ser feito em
Configuration >> Device Management >> Users/AAA >> User Accounts,
conforme figuras 7 e 8.

Figura 7: Criao de usurio, etapa 1

Figura 8: Criao de usurio, etapa 2

Atente-se de que um usurio s ter permisso para login via SSH caso
seja marcada a opo correspondente.

3.1 Configuraes de Rede

Esto disponveis em Device Setup >> Interfaces, conforme figura 9. O

comando show interfaces apresenta as mesmas informaes em linha
de comando, logicamente de forma menos amigvel.

Figura 9: Configuraes de interface

At agora s tnhamos configurado a interface para acesso remoto via

interface grfica.
A partir do momento em que j temos este acesso podemos configurar as
outras interfaces: interna e dmz, cada uma com seu respectivo Security
Level.
Em geral, o Security Level de interfaces para a rede interna o maior
possvel (100). O da rede dmz pode ser ajustado para 50.
Para o Cisco ASA, por padro o fluxo de dados entre interfaces permitido
quando o Security Level da interface origem dos dados maior do que o
da interface destino.

3.2 Configuraes de Rotas

Acessveis no caminho Device Setup >> Routing >> Static Routes. Caso seja
necessrio adicionar uma rota, proceda com a tarefa em Device Setup >>
Routing >> Static Routes >> Add.

Figura 10: Rotas estticas configuradas

Figura 11: Configurao de rota esttica

Em geral, em Options, voc pode deixar o padro marcado (None).

3.3 Root Bsico

Em Device Management >> System Image/Configutation >> Boot

Image/Configuration >> Add possvel localizar a imagem do ASDM.

Figura 12: Localizao de imagem do ASDM

Figura 13: Selecionando uma imagem de ASDM para o boot

3.4 CLI no ASDM

O print de tela nem sempre a melhor alternativa para obter uma

informao solicitada.
A interface grfica permite que o usurio tenha acesso linha de
comando em Tools >> Command Line Interface (single line ou multiline).
Por exemplo, possvel obter a sada do comando show running-config
a partir da janela como se estivesse conectado ao equipamento via
console (figura 14, 15 e 16).

Figura 14: Acessando a janela de execuo de comandos a partir da interface grfica

Figura 15: Janela de execuo de comandos a partir da interface grfica

Figura 16: Sada do comando "show running-config" executado a partir da interface grfica

3.5 Gerenciador de Arquivos

Caso seja necessrio gerenciar imagens ou arquivos no appliance, pode-se

utilizar o gerenciador de arquivos atrelado interface em vez de executar
os comandos de transferncia (que em geral utilizam tftp e/ou ftp) via
console.
Este acesso se d atravs de Tools >> File Management. As figuras 17 e 18
demonstram a utilizao.

Figura 17: Acessando o Gerenciador de Arquivos

Figura 18: Utilizando o Gerenciador de Arquivos

4 Licena do Appliance
Acessvel atravs de Device Management >> Licensing >> Activation Key.

Figura 19: Licenas Disponveis

5 Integrao entre Redes

O firewall orientado a objetos, que podem ser habilitados e
desabilitados.
Uma regra de firewall consiste de um objeto composto de outros objetos.
Exemplo: endereo IP origem (objeto), endereo IP destino (objeto),
protocolo de acesso (objeto), porta de acesso (objeto), etc.
O trfego entre as interfaces obedece prioridade associada interface
(Security Level), de 0 a 100. Por padro, o trfego de interfaces de ID
maior para ID menor liberado.
6 Sincronismos Utilizados
O Cisco ASA pode utilizar uma base de usurios no necessariamente
configurada localmente, como, por exemplo, LDAP, TACACS, etc.
Ele pode armazenar logs em servidores (Syslog Servers).

O equipamento possui buffer de 2096 bytes, constantemente reescrito,

para operaes de troubleshooting, assim como suporte a SNMP para que
seja monitorado de acordo com as necessidades do administrador.
7 Objetos
7.1 Network Objects/Groups

Os objetos podem consistir de endereos de rede e grupos de endereos.

Para criar um objeto ou grupo de rede, dirija-se Configuration >>
Firewall >> Objects >> Network Objects/Group >> Configuration.

Figura 20: Criaao de objeto de rede

Figura 21: Preenchimento dos dados do objeto de rede

7.2 Service Objects/Groups

Os objetos podem consistir de servios de rede e grupos de servios de

rede.
Para criar um servio rede ou grupo de servios, dirija-se Configuration
>> Firewall >> Objects >> Network Objects/Group >> Configuration.

Figura 22: Criao de servio de rede

Figura 23: Preenchimento de dados de um servio de rede

Figura 24: Criao de um grupo de servios de rede. Observe que voc pode adicionar vrios protocolos ao grupo
recm-criado (Members in Group)

8 NAT
As regras de NAT podem ser visualizadas em Configuration >> Firewall >>
NAT Rules.
Com base na topologia apresentada, ser criado um NAT para cada IP VIP,
redirecionando todo o trfego (ou parte dele) para um IP na rede abaixo
(rede LAN).

Figura 25: Caminho para criao de regra de NAT

Figura 26: Criao de regra de NAT

Figura 27: Configurao de regra de NAT

Observe bem os campos Source Interface, Destination Interface,

Source Address, Destination Address e os campos para o pacote
traduzido (Translated Packet).
As possibilidades de transformao de pacotes so mltiplas dependendo
da topologia em operao e da necessidade em questo.
8.1 Tipos de NAT

NAT pressupe tabelas de mapeamento. Ele pode ser esttico ou

dinmico.
A diferena pode ser explicada da seguinte maneira: suponha que voc
est realizando uma conexo de sua rede interna para o Google na porta
80 (onde sua rede interna possui numerao invlida, digamos,
192.168.1.0/24, onde sua mquina possui o IP 192.168.1.50).
A conexo dada pela tupla 192.168.1.50:8000 >> 173.194.42.148:80.
Quando voc envia esta requisio, o firewall, que possui IP pblico,
quem vai realizar a conexo com o Google e repassar os resultados a voc.

Portanto, ele realiza um mapeamento para saber para quem enviar a

resposta do Google.
Em um NAT dinmico, o firewall escolher uma porta alta de si mesmo
para realizar esta conexo (digamos que ele tem o IP pblico
200.219.40.5): 200.219.40.5:45000 >> 173.194.42.148:80, e quando ele
receber a resposta, ele alterar o IP destino do pacote de resposta (que no
caso o prprio firewall), para o IP de sua mquina interna
(192.168.1.50),
como
por
exemplo:
173.194.42.148:80
>>
192.168.1.50:8000.
Se o NAT fosse esttico, o firewall respeitaria as conexes conforme a sua
porta alta local, ou seja, abriria conexo com o Google utilizando o IP dele
e a porta alta 8000.
8.2 Verificao de NAT na CLI

As regras visualizadas em Configuration >> Firewall >> NAT Rules podem

ser igualmente obtidas via console/SSH com o comando show nat.

Figura 28: Verificao de regras de NAT via linha de comando

8.3 Estado das Conexes

J a obteno dos estados das conexes traduzidas mais eficientemente

obtida atravs do acesso em modo texto utilizando o comando show
xlate.

9 ACL
Acrnimo de Access Control List ou Lista de Controle de Acessos.
Representam efetivamente as regras de firewall do Cisco ASA.
Tambm constitui um objeto composto por outros objetos, como
informado na seo 5.
As ACLs podem ser visualizadas em Configuration >> Firewall >> Access
Rules.
A verificao de ACL em conjunto com a rotina de log do ASDM
extremamente til durante um troubleshooting.

Figura 29: ACLs

Figura 30: Criao de ACL

Figura 31: Configurao de ACL

9.1 Global Access Lists

uma classe de ACL que abrange todas as interfaces do Cisco ASA.

Observao: lembre-se de que na seo anterior uma ACL podia definir a
interface de entrada de um pacote (campo Interface), e que uma regra de
NAT possui recurso para que sejam definidas a entrada e sada do pacote.
As Global Access Lists podem ser visualizadas em Configuration >> Firewall
> Global Rules.
Este tipo de ACL deve ser usada com prudncia, pois o seu uso
indiscriminado tornar o appliance desorganizado e difcil de administrar.

Figura 32: Criao de Global Access List

Figura 33: Configurao de Global Access List recm-criada

10 Public Servers
O conceito de Public Server define o acesso externo a hosts internos
usando um IP da interface externa (outside).
No deixa de ser um recurso de NAT embutido no Cisco ASA para facilitar
a vida do administrador.
Para acessar o recurso dirija-se a Configuration >> Public Servers.

Figura 34: Criao de Public Server

Figura 35: Configurao de Public Server

11 Features
O Cisco ASA possui tambm as seguintes capacidades:

Proxy Transparente
Bridge
Tratamento de trfego com QoS
Inspection de pacotes, liberando o pacote ou no de acordo com a
checagem correlata.

12 Backup e Restore
12.1 Backup

O modo de configurao com assistente nos possibilita fazer backup de

um ambiente para, posteriormente, recuper-lo caso necessrio.
O backup pode ser feito por partes, porm recomendamos o full.

Figura 36: Backup acessvel atravs de Tool >> Backup Configuration

Figura 37: Backup personalizado, onde seleciona-se somente o que se quer guardar

Figura 38: Definio de arquivo de backup, com extenso zip

Figura 39: Gerao de backup personalizado

Figura 40: Concluso de backup personalizado

12.2 Restore

O restore do running-config simples (vide figura 29) e injetvel no

appliance atravs do gerenciador de arquivos (seo 3.5).
O restore do backup completo, que deve ser gerado com a extenso zip,
pode ser efetuado atravs da interface grfica do mesmo modo que o
backup full.

Figura 41: Restore acessvel em Tools >> Restore Configurations

Figura 42: Seleo de arquivo de backup a ser restaurado

Figura 43: Seleo de backup a ser restaurado para o appliance (extenso zip)

Figura 44: Definio dos itens a serem restaurados

Figura 45: Aviso de restaurao sobre o que pode acontecer com as configuraes vigentes

Figura 46: Processo de restaurao concludo

13 Troubleshooting
O CLI, logging, traceroute e Packet Tracer so boas ferramentas de
anlise.
O Packet Tracer faz anlise de uma origem para um destino e vice-versa,
descrevendo todo o trajeto do pacote e a influncia de cada regra sobre
ele.
Quando o pacote liberado o indicador exibido na cor verde, caso
contrrio, na cor vermelha.
Lembre-se de que uma regra de NAT pode modificar a origem e/ou
destino de um pacote de modo que ele no seja aceito em alguma etapa
do curso que percorrido, o que pode ser detectado facilmente com a
ferramenta Packet Tracer.
A ferramenta de logging acessvel em Monitoring >> Logging >> View,
onde o filtro desejado pode ser configurado.
Ping e traceroute so ferramentas comuns na maioria dos sistemas unix
like, acessveis em Tools >> Ping e Tools >> Traceroute, respectivamente.

Figura 47: Acesso ao Packet Tracer

Figura 48: Exemplo de uso do Packet Tracer

Figura 49: Acessando o Logging

Figura 50: Exemplo de uso do Logging

Figura 51: Acessando o Traceroute

Figura 52: Exemplo de uso do Traceroute

Figura 53: Acessando o Ping

Figura 54: Exemplo de uso do Ping