Вы находитесь на странице: 1из 12

85. Конфигурирование базовых настроек ASA.

Под базовыми настройками понимается настройка интерфейсов, маршрутизации,


подключения для удалённого администрирования.
Настройка интерфейсов
В режиме routed на каждом интерфейсе ASA настраивается ip адрес, маска, уровень
безопасности (security-level), имя интерфейса, а также интерфейс надо принудительно
«поднять», так как по умолчанию все интерфейсы находятся в состоянии «выключено
администратором». (Исключения бывают: иногда АСАшки приходят уже
преднастроенными. Это характерно для модели 5505. В этом случае, как правило, внутренний
интерфейс с названием inside уже настроен как самый безопасный и поднят, на нем работает
DHCP сервер, задан статический адрес из сети 192.168.1.0/24, внешний интерфейс с
названием outside тоже поднят и сам получает адрес по DHCP и настроена трансляция
адресов из сети за интерфейсом inside в адрес интерфейса outside.

int g0/0
ip address {адрес} {маска}
security-level {number}
nameif {имя}
no shutdown

Параметр «уровень безопасности» (security level) – это число от 0 до 100, которое позволяет
сравнить 2 интерфейса и определить, кто из них более «безопасен». Параметр используется
качественно, а не количественно, т.е. важно только отношение «больше-меньше». По
умолчанию трафик, идущий «наружу», т.е. с интерфейса с большим уровнем безопасности на
интерфейс с меньшим уровнем безопасности, пропускается, сессия запоминается и обратно
пропускаются только ответы по этим сессиям. Трафик же, идущий «внутрь» по умолчанию
запрещен.
Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не
физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим»
(inside, outside, dmz, partner и т.д.). По идее, как утверждает сама cisco, имя не зависит от
регистра, (не case sensitive), однако на практике ряд команд требует соблюдения регистра, что
довольно неудобно. Характерный пример: применение crypto map на интерфейс требует
точного написания названия интерфейса. Название интерфейса продолжается нажатием
кнопки TAB, т.е. можно набрать начало названия и табулятором продолжить его до конца,
если набранное начало однозначно идентифицирует интерфейс.
Такая настройка интерфейсов характерна для всех моделей ASA, кроме ASA 5505. В модели
5505 реализован встроенный 8мипортовый L2/L3 коммутатор. IP адреса в модели 5505
задаются на логических интерфейсах.

interface vlan {#}


ip address {адрес} {маска}
security-level {number}
nameif {имя}
no shutdown
Сами же физические интерфейсы L2 сопоставляются VLANам.

interface f0/0
switchport access vlan {#}

Таким образом, межсетевое экранирование возникает между логическими interface vlan.


Как правило, уровень безопасности интерфейсов подбирается таким образом, чтобы
максимально соответствовать логической топологии сети. Сама топология представляет из
себя зоны безопасности и правила взаимодействия между ними. Классической схемой
считается присвоение разным интерфейсам разных уровней безопасности.
Никто не запрещает сделать уровень безопасности на разных интерфейсах одинаковым,
однако по умолчанию обмен трафиком между такими интерфейсами запрещен. Такой трафик
можно сознательно разрешить, дав команду

same-security-traffic permit inter-interface

Однако надо понимать, что между интерфейсами с одинаковым уровнем безопасности не


возникает межсетевого экранирования, а только маршрутизация. Поэтому такой подход
применяется для интерфейсов, относящихся к одной и той же логической зоне безопасноcти
(например, 2 локальные сети пользователей, объединяемые при помощи ASA)
Маршрутизация
Как у любого маршрутизатора (ASA тоже им является, т.к. использует таблицу
маршрутизации для передачи пакетов) сети, настроенные на интерфейсах, автоматически
попадают в таблицу маршрутизации с пометкой «Присоединенные» (connected), правда при
условии, что сам интерфейс находится в состоянии «up». Маршрутизация пакетов между
этими сетями производится автоматически.
Те сети, которые ASA сама не знает, надо описать. Это можно сделать вручную, используя
команду

route {interface} {network} {mask} {next-hop} [{administrative


distance}] [track {#}]

Указывается тот интерфейс, за которым надо искать next-hop, т.к. ASA сама не делает такого
поиска (в отличие от обычного маршрутизатора cisco). Напоминаю, что в таблицу
маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим
маршрутизаторов, где может использоваться до 16 параллельных путей.
Маршрут по умолчанию задается таким же образом

route {interface} 0.0.0.0 0.0.0.0 {next-hop}

Если возникает задача сделать запасной статический маршрут, который будет работать
только при пропадании основного, то это решается указанием так называемой
Административной дистанции маршрута. Это такое число от 0 до 255, которое указывает,
насколько хорош метод выбора маршрута. Например, статическим маршрутам по умолчанию
сопоставлена AD 1, EIGRP – 90, OSPF – 110, RIP – 120. Можно явно указать AD для
запасного маршрута больше, чем AD основного. Например:
route outside 0.0.0.0 0.0.0.0 {next-hop} 1
route backup 0.0.0.0 0.0.0.0 {next-hop_backup} 210

Но в этой ситуации есть один важный вопрос: как заставить «пропасть» основной маршрут?
Если физически упал интерфейс все очевидно – само получится, а если интерфейс поднят, а
провайдер погиб? Это очень распространенная ситуация, учитывая, что на ASA сплошной
ethernet, который физически падает крайне редко.
Для решения этой задачки используется технология SLA. Она весьма развита на
классических маршрутизаторах, а на ASA с версии 7.2 внедрили только самый простой
механизм: доступность некоторого хоста по протоколу icmp. Для этого создается такая
«пинговалка» (sla monitor)

sla monitor {#}


type echo protocol ipIcmpEcho {ip адрес} interface {интерфейс}

Далее, её необходимо запустить, указав время начала (есть возможность запустить «сейчас»)
и окончания работы (можно задать работу до бесконечности)

sla monitor schedule {#} start now life forever

Но и это ещё не все. Надо создать «переключатель» (track) который будет отслеживать
состояние «пинговалки».

track {track #} rtr {sla #} reachability

И вот теперь все готово, чтобы применить эту конструкцию к статической маршрутизации

route outside 0 0 {next-hop_outside} track {#}


route backup 0 0 {next-hop_backup} 210

Приведу пример конфига двух дефолтных маршрутов через разных провайдеров с проверкой
доступности основного провайдера:

sla monitor 1
type echo protocol ipIcmpEcho 1.1.1.1 interface outside
sla monitor schedule 1 start now life forever
track 11 rtr 1 reachability
route outside 0 0 1.1.1.1 track 11
route backup 0 0 2.2.2.1 210

Удаленное управление
ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного
управления. Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по
телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен
доступ, а также необходимо задать пароль на телнет командой passwd:

telnet 192.168.1.128 255.255.255.128 inside


telnet 192.168.1.254 255.255.255.255 inside
passwd {пароль}

В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем


безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом
интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
Более безопасный доступ к командной строке обеспечивается протоколом ssh. Однако, для
обеспечения доступа по ssh кроме явного указания того, с каких хостов можно заходить для
управления, необходимо также задать RSA ключи, необходимые для шифрования данных о
пользователе. По умолчанию для подключения по ssh используется пользователь pix и
пароль, задаваемый командой passwd (пароль на telnet)

! Задаем имя домена


domain name {имя}
!
! Желательно задать недефолтовое имя хоста
hostname {имя}
!
! После этого можно сгенерировать ключи
crypto key generate rsa
!
! Разрешаем ssh
ssh 192.168.1.128 255.255.255.128 inside
ssh 1.2.3.4 255.255.255.255 outside
passwd {пароль}

Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и
дефолтные ключи сгенерированы, однако как минимум это надо проверить

show crypto key mypubkey rsa

Наличие хотя бы каких-то ключей RSA уже позволяет работать по ssh. Но можно
дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя
ключевой пары

crypto key generate rsa label {имя пары}

Чтобы удалить ключевую пару (или все пары) используется команда

crypto key zeroize rsa [label {имя пары}]

Пример конфигурации
Здесь настроено 2 интерфейса (в данном случае это gigabitethernet 0/0 и 0/1, однако на разных
платформах это могут быть и другие физические интерфейсы), inside и outside, дефолтный
маршрут, разрешен удаленный доступ по ssh и https ото всюду, при этом аутентификация
использует локальную базу данных пользователей.

hostname MyAsa
!
domain name anticisco.ru
!
interface g0/0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.252
no shut
!
int g0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shut
!
! на ASA запись 0.0.0.0 можно сократить до 0
!
route outside 0 0 1.1.1.1
!
username admin password cisco privilege 15
!
ssh 0 0 inside
ssh 0 0 outside
!
http 0 0 inside
http 0 0 outside
!
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL

86. Конфигурирование логических интерфейсов VLAN ASA


Создаём VLAN.

interface vlan {#}


ip address {адрес} {маска}
security-level {number}
nameif {имя}
no shutdown

Сопоставляем VLAN с интерфейсом.

interface f0/0
switchport access vlan {#}

87. Ассоциация портов уровня 2 с VLAN ASA


В данном вопросе требуется сравнить Private VLAN и ASA VLAN.
Сравнений я не нашёл, так что просто напишу про Private VLAN.
От себя могу сказать, что Private VLAN содержит изолированные VLANы внутри общего,
Primary VLAN. В ASA VLANах общего нет.
Private VLAN
По сути, с помощью данной технологии выполняется контроль внутри vlan-а. Контролируя
broadcast домен превращая его в под-домены, согласно настройкам, которые дал
администратор сети. Проще говоря, есть свич, есть сеть, есть broadcast домен. Не хотим мы
что бы пользователи, которые подключены в этот домен могли обращаться друг к другу.
Здесь и применяется наша технология. А если смотреть со стороны самой технологии, то в
домене организуются под-домены.

Существует 2 типа вланов в данной технологии, primary, основной влан который берется за
основу и представляется не private vlans, как обычный не показывающий id внутридоменных
вланов, которые и относятся у второму типу вланов secondary.
Тем самым сами secondary vlans могут быть 2-х типов: Isolated и community, ниже описаны
различия этих понятий.
Итого подытожив, получим следующее.
Promiscuous (или Uplink, к примеру в allied telesyn) — режим пропускания трафика,
применяется в случаях, когда не нужно ограничивать доступность (тот же файловый сервер,
маршрутизатор или коммутатор). Этот тип относится к primary vlans. И обменивается
трафиком как с изолированными, так и как сказано выше с вланами не использующие
технологию pvlan.
Isolated — как раз порт, который находится в изолированном состоянии т.е. находится в
своем под-домене, и не имеет доступ к другим изолированным под-доменам, так же, как и к
нему. Видит он только порты, которые находится в promiscuous состоянии, применяется,
когда хост в сети требует к себе особой безопасности.
Community – деление на под домены не один порт, а несколько портов в отдельном домене.
Другими словами, хосты в этом домене видят как своих соседей по под-домену, так и хосты в
promiscuous состоянии, применимо, когда изоляцию делаем, к примеру, по отделу.

88. Конфигурирование статической маршрутизации по умолчанию ASA


route {interface} {network} {mask} {next-hop} [{administrative distance}] [track {#}]
, где interface – имя VLAN, network – ip сети, next-hop –путь по умолчанию (default gateway).

89. Конфигурирование сервисов удаленного доступа ASA


ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного
управления. Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по
телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен
доступ, а также необходимо задать пароль на телнет командой passwd:

telnet 192.168.1.128 255.255.255.128 inside


telnet 192.168.1.254 255.255.255.255 inside
passwd {пароль}

В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем


безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом
интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
Более безопасный доступ к командной строке обеспечивается протоколом ssh. Однако, для
обеспечения доступа по ssh кроме явного указания того, с каких хостов можно заходить для
управления, необходимо также задать RSA ключи, необходимые для шифрования данных о
пользователе. По умолчанию для подключения по ssh используется пользователь pix и
пароль, задаваемый командой passwd (пароль на telnet)

! Задаем имя домена


domain name {имя}
!
! Желательно задать недефолтовое имя хоста
hostname {имя}
!
! После этого можно сгенерировать ключи
crypto key generate rsa
!
! Разрешаем ssh
ssh 192.168.1.128 255.255.255.128 inside
ssh 1.2.3.4 255.255.255.255 outside
passwd {пароль}

Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и
дефолтные ключи сгенерированы, однако как минимум это надо проверить

show crypto key mypubkey rsa

Наличие хотя бы каких-то ключей RSA уже позволяет работать по ssh. Но можно
дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя
ключевой пары

crypto key generate rsa label {имя пары}

Чтобы удалить ключевую пару (или все пары) используется команда

crypto key zeroize rsa [label {имя пары}]

90. Конфигурирование сервисов DHCP ASA


1. Создаём ASA VLAN.

interface vlan {#}


ip address {адрес} {маска}
security-level {number}
nameif {имя}
no shutdown

2. Создаём и применяем DHCP сущность.

dhcpd address 10.1.1.1-10.1.1.100 {имя}


dhcpd enable {имя}

3. (Опционально) Назначаем DNS сервер.

dhcpd dns 200.1.1.1

91. Конфигурирование сетевых объектов ASA


Объектами называются компоненты, которые мы можем использовать при конфигурации. Они
могут быть определены и использованы в конфигурации ASA вместо IP адресов. Объекты
позволяют легко поддерживать конфигурации, потому что вы можете изменить объект в одном
месте и это повлечет за собой изменения во всех остальных местах, где данный объект
используется. Например, если сетевой объект ASA определяет IP адрес и маску подсети, и
возникает необходимость изменить адрес, нам будет достаточно сделать это в определении
самого объекта, а не в каждой функции, которая ссылается на данный IP адрес.
Сетевые объекты
Сетевой объект состоит из IP адреса и маски подсети.

Для того чтобы создать сетевой объект используется следующая последовательность команд
(3 пункт опционален):

Команда Пояснения Пример


1 object network имя_объекта Создает новый сетевой объект. # object network
Строка имя_объекта MYOBJECT1
представляет из себя комбинацию
из букв, цифр и следующих
символов:
 . (точка)
 - (тире)
 _ (нижнее подчеркивание)

Имя не может быть длиннее 64


символов

2 { host ip_addr | Задаёт IP адрес сетевому объекту. # host 10.2.2.2


subnet net_addr net_mask | Вместо IP адреса можно задать
range ip_addr_1 ip_addr_2 } сетевую маску, либо пул адресов

3 description текст Задаёт описание объекту # description Example


Network Object

92. Конфигурирование сервисных объектов ASA


Объектами называются компоненты, которые мы можем использовать при конфигурации. Они
могут быть определены и использованы в конфигурации ASA вместо IP адресов. Объекты
позволяют легко поддерживать конфигурации, потому что вы можете изменить объект в одном
месте и это повлечет за собой изменения во всех остальных местах, где данный объект
используется. Например, если сетевой объект ASA определяет IP адрес и маску подсети, и
возникает необходимость изменить адрес, нам будет достаточно сделать это в определении
самого объекта, а не в каждой функции, которая ссылается на данный IP адрес.

Сервисные объекты
Сервисный объект определяет протокол, а также (необязательно) порт источника и/или порт
назначения.

Для того чтобы создать сервисный объект используется следующая последовательность


команд:

Команда Пояснения Пример


1 object service имя_объекта Создает новый сетевой объект. # object service
Строка имя_объекта MYOBJECT1
представляет из себя
комбинацию из букв, цифр и
следующих символов:
 . (точка)
 - (тире)
 _ (нижнее подчеркивание)

Имя не может быть длиннее 64


символов

2 service { protocol | icmp icmp- # service tcp


Создаёт сервисный объект. source eq www
type | icmp6 icmp6-type |
{ tcp | udp } [ source operator Аргумент protocol определяет destination eq ssh
port ] [ destination operator имя (или номер) IP протокола.
port ]}
Возможные варианты – tcp, udp,
icmp
Аргумент icmp-type определяет
версию icmp протокола
Аргумент source определяет порт
источника
Аргумент destination определяет
порт назначения

93. Группы объектов ASA


Группируя объекты ASA мы получаем возможность применить правило контроля доступа
сразу же ко всей группе, вместо того чтобы, задавать его для каждого объекта данной группы
отдельно. Существует 4 разных типа групп:
1. Protocol
2. Network
3. Service
4. ICMP type

94. Конфигурирование обычных групп объектов ASA


Конфигурация Protocol object-group

hostname (config)# object-group protocol tcp_udp_icmp //Создаём группу с названием


// tcp_udp_icmp

hostname (config-protocol)# protocol-object tcp //Добавляем tcp


hostname (config-protocol)# protocol-object udp //Добавляем udp
hostname (config-protocol)# protocol-object icmp //Добавляем icmp
Конфигурация Network object-group

hostname (config)# object-group network admins //Создаём группу admins


hostname (config-protocol)# description Administrator Addresses //Добавляем описание
hostname (config-protocol)# network-object host 10.2.2.4 //Добавляем ip
hostname (config-protocol)# network-object host 10.2.2.78
hostname (config-protocol)# network-object host 10.2.2.34

Конфигурация Service object-group

hostname (config)# object-group service services1 tcp-udp //Создаём группу


hostname (config-service)# description DNS Group //Добавляем описание
hostname (config-service)# port-object eq domain //Добавляем 53 порт

Конфигурация Service object-group

Следующая конфигурация позволяет контролировать ping-запросы

hostname (config)# object-group icmp-type ping //Создаем группу


hostname (config-service)# description Ping Group //Добавляем описание
hostname (config-service)# icmp-object echo //Добавляем icmp тип 8
hostname (config-service)# icmp-object echo-reply //Добавляем icmp тип 0

95. ACL-списки ASA

Cisco ASA предоставляет базовые возможности фильтрации трафика на основе списков


доступа (ACL), которые, в свою очередь, предотвращают приём или передачу определённого
трафика в вашей сети.

Списки доступа состоят из одной или нескольких строк (ACEs), каждая из которых определяет
разрешающее или запрещающее правило (на передачу или отброс трафика), которое, в свою
очередь, применяется к протоколу, адресу источника/назначения или сети и (опционально), к
порту источника/назначения.

96. Типы ACL-списков ASA


Внимание. Инфу брал с сайта Cisco. Самое странное что на других сайтах по этому же
вопросу ответ отличается, следовательно если она будет говорить о том, что Ваш ответ
неверный, то можно сослаться на официальную документацию. Найти её можно по
ссылке:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_confi
g/acl_overview.html

Cisco ASA использует 5 разных типов списков контроля доступа:


1. Стандартный список контроля доступа (Standard access lists) – Определяет IP адреса
назначения OSPF маршрутов, используется в таблице маршрутизации для
перераспределения OSPF, не могут быть применены к интерфейсам для контроля
трафика.

2. Расширенные списки контроля доступа (Extended access lists) – Состоит из одной или
нескольких записей (ACEs), указывающих адреса источников, назначения, тип
протокола, порты источника/назначения или тип ICMP. Используются для контроля
трафика в сети.

3. Списки контроля доступа EtherType (EtherType access lists) - Состоит из одной или
нескольких записей (ACEs), определяющих EtherType.

4. Списки контроля доступа Webtype (Webtype access lists) – Используются в


конфигурациях, поддерживающих фильтрацию безклиентного SSL VPN.

5. Списки контроля доступа IPv6 (IPv6 access lists) – Применяются к интерфейсам роутера,
и определяют какой IPv6 трафик передавать или отбрасывать.

Оценить