Firewall Cisco ASA : Compreendendo os oito comandos básicos

Há literalmente milhares de comandos e sub-comandos disponíveis para configurar um firewall Cisco ASA. À medida que você ganha conhecimento do aparelho, você usará mais e mais comandos. Inicialmente, no entanto, há apenas alguns comandos necessários para configurar a funcionalidade básica no aparelho.

Há literalmente milhares de comandos e sub-comandos disponíveis para configurar um firewall Cisco ASA. À medida que você ganha conhecimento do aparelho, você usará mais e mais comandos. Inicialmente, no entanto, há apenas alguns comandos necessários para configurar a funcionalidade básica no aparelho. A funcionalidade básica é definida como permitir que os hosts internos acessem hosts externos, mas não permitindo que hosts externos acessem os hosts internos. Além disso, o gerenciamento deve ser permitido de pelo menos um host interno. Para habilitar a funcionalidade básica, existem oito comandos básicos (esses comandos são baseados no software versão 8.3 (1) ou superior).

  • interface
  • nameif
  • security-level
  • ip address
  • switchport access
  • object network
  • nat
  • route

 

Exemplo de diagrama de rede com Firewall Cisco ASA: 

Exemplo de Diagrama de Rede Firewall Cisco ASA

 

Interface

O comando da interface identifica a interface de hardware ou Switch Interface virtual (interface VLAN) que será configurada no seu Cisco ASA. Uma vez no modo de configuração da interface, você pode atribuir interfaces físicas a switchports e habilitá-las (ligá-las) ou você pode atribuir nomes e níveis de segurança às interfaces VLAN.

nameif

O comando nameif dá à interface um nome e atribui um nível de segurança. Os nomes típicos estão fora, dentro ou DMZ.

Nameif Firewall Cisco ASA

Security-level

Os níveis de segurança do Firewall Cisco ASA são valores numéricos, variando de 0 a 100, usados ​​pelo aparelho para controlar o fluxo de tráfego. O tráfego é permitido fluir de interfaces com níveis de segurança mais altos para interfaces com níveis de segurança mais baixos, mas não o contrário. As listas de acesso devem ser usadas para permitir que o tráfego flua de níveis de segurança mais baixos para níveis de segurança mais altos. O nível de segurança padrão para uma interface externa é 0. Para uma interface interna, o nível de segurança padrão é 100. Na configuração de exemplo a seguir, o comando de interface é usado primeiro para nomear interfaces de VLAN internas e externas, então a interface DMZ é chamada E um nível de segurança de 50 é atribuído a ele.

ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# interface vlan3
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50

ip address

O comando de endereço IP atribui um endereço IP a uma interface de VLAN, seja de forma estática, seja tornando-o um cliente DHCP. Com as versões modernas do software do appliance de segurança, não é necessário configurar explicitamente máscaras de sub-rede padrão. Se você estiver usando máscaras não padrão, você deve configurar explicitamente a máscara, caso contrário, não é necessário.

Na configuração de exemplo a seguir, um endereço IP é atribuído à VLAN 1, a interface interna.

ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.106.1

Na configuração de exemplo a seguir, uma interface VLAN 2, a interface externa é configurada como um cliente DHCP. O uso da declaração "setroute" informa o aparelho para obter sua rota padrão do servidor DHCP.

ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address dhcp setroute

Configurando interfaces no Cisco ASA 55x0

Aviso na captura de tela de um appliance de segurança Firewall Cisco ASA 5540 que o comando nameif é usado para designar interfaces físicas em vez de interfaces VLAN.

Interfaces Firewall Cisco ASA

Switch port acess

O comando de acesso do switchport no dispositivo de segurança ASA 5505 atribui uma interface física a uma interface lógica (VLAN). No próximo exemplo, o comando da interface é usado para identificar as interfaces físicas, atribuí-las ao switchports no aparelho e habilitá-las (ligá-las). Este comando não é usado nos appliances ASA 55x0.

ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown

object network net-192.168.106

A rede de objetos net-192.168.106 cria um objeto chamado "net-192.168.106". (Você não precisa nomear o objeto "net-192.168.106", que é um nome descritivo, mas você poderia nomeá-lo com facilidade "Juan".) A opção de rede indica que esse objeto específico será baseado em endereços IP . A sub-rede 192.168.106.0 255.255.255.0 comando afirma que net-192.168.106 afetará qualquer endereço IP começando com 192.168.106.

ciscoasa(config-if)#object network net-196.168.106
ciscoasa(config-network-object)#subnet 192.168.106.0 255.255.255.0

NAT

A declaração nat, como mostrado abaixo, informa o firewall para permitir que todo o tráfego que flui de dentro para a interface externa use qualquer endereço dinamicamente (DHCP) configurado na interface externa.

ciscoasa(config)#nat (inside,outside) dynamic interface

ROUTE

O comando de rota, na sua forma mais básica, atribui uma rota padrão para o tráfego, normalmente para o roteador de um ISP. Ele também pode ser usado em conjunto com listas de acesso para enviar tipos específicos de tráfego para hosts específicos em sub-redes específicas.

Nesta configuração de exemplo, o comando de rota é usado para configurar uma rota padrão para o roteador do ISP em 12.3.4.6. Os dois zeros antes do endereço do roteador do ISP são taquigrafia para um endereço IP de 0.0.0.0 e uma máscara de 0.0.0.0. A declaração externa identifica a interface através da qual o tráfego irá fluir para alcançar a rota padrão.

ciscoasa(config-if)# route outside 0 0 12.3.4.6

No lugar da configuração de rota padrão manual, conforme mencionado anteriormente, você poderia, em vez disso, configurar sua interface externa como um cliente DHCP e incluir a instrução "setroute" para obter a rota padrão do servidor DHCP do ISP.

Os comandos acima criam um firewall muito básico. Um firewall sofisticado, como o Cisco ASA Security Appliance, é capaz de uma funcionalidade muito maior do que o que é mostrado aqui. Esses comandos, no entanto, fornecerão uma base sólida para configurar serviços adicionais em seu aparelho.

Outros comandos que você pode usar incluem o nome do host para identificar o firewall, telnet ou SSH para permitir administração remota, comandos DHCPD para permitir que o firewall atribua endereços IP para hosts internos e comandos de rota estática e lista de acesso para permitir hosts internos, como a DMZ Web Servidores ou servidores de correio DMZ para serem acessíveis aos hosts da Internet. Claro, existem muitos outros comandos avançados que são explicados em outros guias de instruções e no livro The Accidental Administrator: Cisco ASA Security Appliance: A Step-by-Step Configuration Guide.

Exemplo de Configuração Básica #1 (endereço IP estático na interface externa)

ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address 12.3.4.5 255.255.255.0
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.106.1
ciscoasa(config-if)# route outside 0 0 12.3.4.6
ciscoasa(config-if)#object network net-192.168.106
ciscoasa(config-network-object)#subnet 192.168.106.0 255.255.255.0
ciscoasa(config)#nat (inside,outside) dynamic interface
ciscoasa(config)#exit

Observe na configuração acima que o endereço da interface externa e a rota padrão são configurados manualmente. Se a interface externa do seu aparelho estiver conectada a uma rede com um servidor DHCP, como um ISP, você poderia configurar a interface VLAN2 como um cliente DHCP com o comando "endereço IP dhcp setroute". O uso da declaração "setroute" também elimina a necessidade da configuração de rota padrão manual (rota fora 0 0 12.3.4.6).

Exemplo de Configuração Básica #2 (Endereço IP atribuído por DHCP na interface externa)

ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address dhcp setroute
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.106.1
ciscoasa(config-if)#object network net-192.168.106
ciscoasa(config-network-object)#subnet 192.168.106.0 255.255.255.0
ciscoasa(config)#nat (inside,outside) dynamic interface
ciscoasa(config)#exit

 

Firewall Cisco ASA é na Xtech!!!