Ikona domuStart / Blog / Konfiguracja Filtracji Ruchu w Cisco ASA 5505

Konfiguracja Filtracji Ruchu w Cisco ASA 5505

Szczegóły

CISCO ASA obok routerów i przełączników jest kolejnym urządzeniem sieciowym, którego głównym zadaniem jest ochrona naszej sieci przed intruzami i nieautoryzowanym dostępem. Ochrona ta polega na blokowaniu niedozwolonego ruchu sieciowego. Urządzenie ASA w kontrolowanej przez nas sieci pełni rolę firewalla. W artykule tym zajmiemy się podstawową konfiguracją urządzenia CISCO ASA oraz jego implementacją w sieci.

Podstawy Działania Cisco ASA

Wiemy już, że głównym zadaniem urządzenia jest prowadzenie polityki bezpieczeństwa polegającej na filtrowaniu pakietów tak by sieć była zabezpieczona ale i by w sposób bezpieczny był zapewniony do niej dostęp.

CISCO ASA obsługuje następujące mechanizmy:

  • Filtrowanie pakietów realizowane z wykorzystaniem listy dostępu ACL: CISCO ASA obsługuje zarówno standardowe, jak i rozszerzone listy dostępu.
  • Filtrowanie stanowe: przez urządzenie ASA cały ruch sieciowy traktowany jest jako całość co oznacza, że decyzja o przepuszczeniu bądź zablokowaniu danego pakietu jest podejmowana w oparciu o analizę pakietów tworzących połączenie.
  • Wykorzystanie mechanizmu AAA: obsługiwane są usługi AAA - uwierzytelniania, autoryzacji i rozliczania.
  • NAT: obsługa NAT (NAT statyczny i dynamiczny) oraz PAT.
  • Routing: ASA obsługuje takie protokoły routingu dynamicznego jak: RIP (ang. Routing Information Protocol), EIGRP (ang. Enhanced Interior Gateway Routing Protocol) oraz OSPF (Open Shortest Path First).
  • Grupy obiektów: których zadaniem jest uproszczenie konfiguracji urządzenia, zamiast np. definiować listę ACL do każdego z adresów IP podlegających jej działaniu można utworzyć grupę w skład, której będą wchodzić dane adresy IP a w składni polecenia listy ACL zamiast do adresów odwołać się do grupy.
  • Implementacja w warstwie 3 lub warstwie 2: firewall może działać w warstwie 3 modelu ISO/OSI co oznacza, że do każdego z interfejsów zapory można przypisać adres IP pomiędzy, którymi jest prowadzony routing.
  • Obsługa tuneli VPN: - firewall może zostać skonfigurowany do obsługi tuneli VPN typu lokalizacja-lokalizacja (ang. Site-to-Site - gdy łączymy ze sobą dwie sieci, pomiędzy, którymi musi być zapewniona komunikacja) oraz tuneli VPN, których zadaniem jest zapewnienie łączności pracownikom z siecią np. przedsiębiorstwa (ang. Client-Site - tunele tego typu najczęściej są wykorzystywane przez klientów pracujących zdalnie ale muszących mieć dostęp do zasobów sieci firmowej).

Opisane usługi nie wyczerpują wszystkich możliwości urządzenia ale te bardziej złożone i wyrafinowane (np. filtrowanie ruch bootnet czy AMP - ochrona przed złośliwym oprogramowaniem) dostępne są dla urządzeń bardziej zaawansowanych.

Całość tego wpisu oprę na urządzeniu CISCO ASA 5505, które jest najmniej zaawansowanym sprzętem oferowanym przez CISCO w tej klasie produktów ale na tyle wystarczającym by wszystkie mechanizmy typowej zapory sieciowej omówić.

Przeczytaj także: Definicja i pomiar filtracji kłębuszkowej

Budowa i Funkcje Cisco ASA 5505

Omawiany model wyposażony jest w 256 MB pamięci DRAM (pamięć tą możemy zwiększyć o kolejne 256 MB) oraz 128 MB pamięci flash.

Na panelu przednim umieszczono szereg diod (poza złączem USB), których zadaniem jest informowanie Nas o stanie urządzenia i aktualnie włączonych funkcjach.

  • Dioda Power sygnalizuje Nam podłączenie urządzenia do zasilacza, firewall jest włączony.
  • Dioda Status, gdy pali się światłem stałym oznacza to, że nastąpił prawidłowy start urządzenia podczas, którego nie napotkano na żadne błędy (po włączeniu do zasilania dioda Status miga zielonym światłem powiadamiając Nas tym samym, że następuje proces ładowania poszczególnych komponentów systemu). Podczas napotkania na błąd, który uniemożliwia prawidłowy start systemu dioda zacznie mrugać pomarańczowym światłem.
  • Paląca się dioda Active oznacza aktywność urządzenia oraz jego prawidłową pracę.
  • Zainicjowanie tunelu VPN będzie sygnalizowane zapaleniem się diody VPN.
  • Dioda SSC świeci się tylko wtedy gdy do urządzenia CISCO ASA została podłączona dodatkowa karta SSC (ang. Secure Services Card).
  • Diody Link/Act zapalają się w momencie podpięcia przewodu do interfejsu, miganie diody oznacza prowadzoną transmisję danych.
  • Łącze USB służy do podłączenia zewnętrznych nośników danych (dysk twardy, pendrive) celem np. aktualizacji oprogramowania.

Panel przedni mamy z „głowy” przyjrzyjmy się tyłowi (idziemy od lewej).

  • Pierwsze złącze Power 48VDC służy do podłączenia zasilania.
  • Kolejne 8 łączy (od 0 do 7) to interfejsy sieciowe przy czym interfejsy oznaczone numerem 6 i 7 obsługują standard Power over Ethernet zapewniający zasilanie podłączonych do nich urządzeń (np. kamery IP, AP).
  • Interfejsy sieciowe w CISCO ASA 5505 mogą działać tylko w warstwie 2 co niesie za sobą niemożność skonfigurowania adresów IP bezpośrednio na każdym z interfejsów (w wyższych modelach urządzeń adres IP przypisujemy na danym interfejsie).
  • Na tyle urządzenia zostały umiejscowione dwa dodatkowe złącza USB oraz port interfejsu konsolowego.
  • Przycisk Reset służy do wyzerowania ustawień.

Poziomy Bezpieczeństwa (Security-Level)

Każdemu z interfejsów firewalla możemy przypisać wartość parametru security-level, możliwe do wykorzystania wartości mieszczą się w przedziale od 0 do 100. Poprzez definicję wartości określamy Nasz poziom zaufania do interfejsu. Zasada jest taka: im wyższa wartość tym bardziej ufamy sieci, która przez dany port firewalla jest osiągalna. Ponieważ sieci LAN są tymi sieciami nad którymi mamy pełną kontrolę to najczęściej interfejsowi podłączonemu z tego typu siecią przypisujemy wartość 100. Sieci WAN są poza naszą jurysdykcją dlatego też interfejs, który prowadzi do tej sieci ma przypisywaną wartość 0.

Definicja poziomów zabezpieczeń niesie za sobą konsekwencje w sposobie przesyłania pakietów pomiędzy interfejsami, które mają przypisane różne wartości security-level. Obowiązuje zasada, że interfejsy z większą wartością poziomu bezpieczeństwa mogą komunikować się z sieciami o mniejszym poziomie zaufania. Sytuacja odwrotna czyli sieć z niższą wartością security-level nie ma dostępu do sieci znajdującej się za interfejsem dla którego ustaliliśmy większy poziom zaufania (no chyba, że lista ACL mówi inaczej). Podsumowując sieć LAN (secutity-level 100) wyśle swoje pakiety do sieci WAN (security-level 0) bez komplikacji zaś pakiety z sieci WAN do sieci LAN zostaną zablokowane.

Przeczytaj także: Webber AP8400 - wymiana filtrów

Na poniższym schemacie został zaprezentowany sposób kontrolowania przepływu ruchu sieciowego (przedstawiony schemat sieci jest najczęściej implementowanym modelem, strzałkami został zaznaczony tylko ruch dozwolony w innych sytuacjach ruch jest blokowany). Sieć została podzielona na trzy strefy: Internet, DMZ oraz sieć LAN. W LAN-ie znajdują się chronione komputery tak by dostęp z poziomu Internetu i strefy DMZ był do nich zabroniony. Komunikacja z sieci Internet oraz DMZ z hostami w sieci LAN jest niemożliwa gdyż interfejs przez który dostępna jest sieć LAN ma zdefiniowany najwyższy możliwy poziom bezpieczeństwa. A jak już wiesz pakiety z interfejsów z niższym poziomem security-level kierowane do interfejsów bardziej zaufanych są odrzucane. Za to pakiety z sieci LAN mogą być swobodnie przekazane w kierunku Internetu oraz strefy DMZ.

W strefie DMZ znajdują się komputery, które realizują usługi, które muszą być dostępne z poziomu Internetu (np. serwer WWW czy poczty elektronicznej). W domyślnej konfiguracji dostęp z Internetu do strefy DMZ jest niemożliwy ale poprzez utworzenie listy dostępu, możemy na dany typ ruchu sieciowego zezwolić. Tak więc jeśli w strefie DMZ znajduje się serwer WWW akceptowalnym ruchem sieciowym nie podlegającym blokowaniu będzie ten związany ze stronami internetowymi (ruch sieciowy innego typu nie spełni kryterium listy ACL więc zostanie przez firewall odrzucony).

Podstawowym celem tworzenia strefy DMZ jest zapewnienie ochrony sieci lokalnej w przypadku naruszenia bezpieczeństwa znajdujących się w niej serwerów. Jeśli atak na serwer znajdujący się w strefie DMZ powiedzie się i atakujący uzyska dostęp do tego segmentu sieci to dzięki zastosowaniu segmentacji sieci z różnymi poziomami zabezpieczeń nie uzyska on z poziomu tej strefy dostępu do sieci LAN.

Licencjonowanie Cisco ASA 5505

Podczas podejmowania decyzji o zakupie urządzenia trzeba wziąć pod uwagę jeszcze jeden czynnik (ominięcie go może spowodować, że zakupione urządzenie nie będzie spełniać Naszych oczekiwań) a mianowicie sposób wyboru licencjonowania.

  • Base License

    Licencja ta pozwala na skonfigurowanie do 3 sieci VLAN, co umożliwia Nam podzielenie sieci na trzy odrębne strefy (wewnętrzna, zewnętrzna, DMZ). Niestety urządzenia pracujące na bazie tej licencji mają nałożone ograniczenie komunikacji między sieciami VLAN. Oznacza to, że strefa wewnętrzna VLAN może komunikować się z DMZ, ale już sytuacja odwrotna jest niedozwolona (DMZ nie może wysyłać ruchu do wewnętrznej sieci VLAN).

    Przeczytaj także: Optymalne rozcieńczenie bimbru

  • Security Plus License

    Licencja ta znosi ograniczenia licencji podstawowej. Maksymalna ilość sieci VLAN jaką można utworzyć wynosi 20 i możliwe jest skonfigurowanie interfejsu do pracy w trybie trunk. Pełna komunikacja pomiędzy sieciami VLAN jest zapewniona. Możliwość wykorzystania nadmiarowości urządzeń.

Pełne porównanie możliwości każdej z licencji znajdziesz na stronie cisco.

Podstawowa Konfiguracja Cisco ASA 5505

Firewall CISCO ASA 5505 został fabrycznie skonfigurowany w taki sposób, by po wyjęciu urządzenia z pudełka było one od razu gotowe do pracy. Interfejs Ethernet 0/0 (sieć zewnętrzna, Internet) uzyskuje adres IP od naszego ISP (klient DHCP) a interfejsy wewnętrzne (Ethernet 0/1 - 0/7) dostarczają konfigurację sieciową podłączonym do nich hostom (serwer DHCP).

Opis konfiguracji urządzenia rozpoczniemy od wiersza linii poleceń. Dostęp do firewalla uzyskujemy po podłączeniu go z komputerem z wykorzystaniem portu Console.

Na naszym firewallu CISCO ASA rozpoczynamy od przejścia do trybu uprzywilejowanego, aby tryb ten uaktywnić wpisujemy dobrze Nam znane polecenie: enable (przy zapytaniu o hasło wybieramy Enter - hasło nie jest ustawione).

Pierwszą czynnością jaką możemy wykonać jest sprawdzenie wersji oprogramowania oraz wersji posiadanej licencji. Wszystkie informacje uzyskamy wydając polecenie: show version

W następnym kroku przechodzimy do trybu konfiguracji globalnej i na postawione pytanie dotyczące wysyłania anonimowych raportów odpowiadamy według własnego uznania.

Naszą konfigurację rozpoczniemy od zdefiniowania hasła dostępu do trybu uprzywilejowanego oraz założenia konta użytkownika.

  1. za pomocą polecenia: enable password <hasło> - ustalamy hasło dostępu do trybu enable,
  2. za pomocą polecenia: username <nazwa_konta> password <hasło> privilege <poziom> definiujemy konto użytkownika lokalnego. Poniżej zostało utworzone konto luk z hasłem cisco, użytkownika ma maksymalny poziom uprawnień

Konfigurację interfejsu tak jak w innych urządzeniach CISCO przeprowadzamy w trybie danego interfejsu aby tryb ten uaktywnić wydajemy polecenie: interface <nazwa_interfejsu>

Przypisanie portu do sieci VLAN realizujemy za pomocą komendy: switchport access vlan <numer_VLAN> - port został przypisany do sieci VLAN 1. Za pomocą polecenia: description <opis> możemy zdefiniować opcjonalny opis portu. Aby port uaktywnić wydajemy komendę: no shutdown

Wprowadzone ustawienia interfejsu możemy zweryfikować wydając polecenie: show interface <nazwa_interfejsu>

Wszystkie porty od e0/1 do e0/7 są przypisane do sieci VLAN 1. Sieć ta jest naszą siecią lokalną tak więc jest to sieć o największym zaufaniu. Dlatego też do sieci VLAN 1 został przypisany poziom security-level o wartości 100 Zdefiniowanie poziomu zaufania do sieci wykonujemy za pomocą polecenia: security-level <wartość> Polecenie wydajemy w trybie konfiguracji interfejsu VLAN.

Stan przypisania portów do określonego VLAN-u możemy sprawdzić wydając polecenie: show switch vlan zaś informacje statystyczne poznamy za pomocą komendy: show interfave vlan <numer>

Oprogramowanie Cisco ASA pozwala Nam na zdefiniowanie nazwy interfejsu, alias ten może być użyty podczas dalszej konfiguracji urządzenia a dodatkowo nazwa ta lepiej definiuje przeznaczenie interfejsu. Poniżej interfejsowi VLAN 1 został przypisana nazwa LAN. Nazwę definiujemy w trybie konfiguracji interfejsu za pomocą polecenia: nameif <nazwa> Domyślnie sieć VLAN 1 jest identyfikowana jako inside zaś sieć VLAN 2 jako outside.

Rezygnujemy z domyślnej konfiguracji IP i adres interfejsu zostaje zmieniony z adresu 192.168.1.1 na 10.0.0.1 Po zmianie adresu IP zostaje wyświetlony komunikat o jego niezgodności z zdefiniowaną pulą adresów serwera DHCP. Polecenie wydajemy w trybie konfiguracji interfejsu VLAN a składnia polecenia jest taka sama jak na innych urządzeniach CISCO: ip address <adres_IP> <maska_sieci>

Zmiana adresu IP pociągnęła za sobą wyłączenie serwera DHCP.

Konteksty Bezpieczeństwa

Kontekst zabezpieczeń to wirtualna instancja zapory sieciowej, która jest domyślnie oddzielona od siebie. Fizyczne urządzenie ASA jest podzielone na konteksty tworzące wiele wirtualnych zapór sieciowych. W typowych wdrożeniach konteksty są mapowane na sieci VLAN lub VRF na resztę sieci. W trybie kontekstowym możesz używać klas do przydzielania zasobów dla określonych kontekstów. Na przykład alokacja może ustawić domyślny limit klasy dla maksymalnych połączeń na 10 procent zamiast nieograniczonego i zezwolić na 5 tuneli VPN typu lokacja-lokacja, z czego 2 tunele będą dozwolone w przypadku serii VPN.

tags: #cisco #asa #5505 #filtracja #ruchu #konfiguracja

Popularne posty: