Меню

Cisco asa 5505 настройка для asdm



Cisco ASA 8.4.2 с нуля. Часть 3. ASA и ASDM

В предыдущей части мы сделали все настройки, необходимые для подключения к ASA по telnet, ssh, а также по ASDM.
В данной статье мы подробнее ознакомимся с работой через интерфейс ASDM.
Здесь мы настроим внешний интерфейс, DHCP для внутренних пользователей, а также сделаем настройку простого NAT-а.

В данной статье мы будем придерживаться следующей схемы:

Несмотря на то, что статья посвящена приёмам работы из ASDM, здесь и далее мы будем всегда дублировать командами-аналогами для CLI.

Проверка версий ASA

ASDM > Home > General

Во вкладке Licence мы можем увидеть тип лицензии, а также включённые фичи для данного девайса.

CLI
Всю аналогичную информацию можно посмотреть через CLI.

Пару слов о лицензиях:

В каждый девайс вшит его серийный номер и для каждого серийного номера может быть сгенерён Activation Key.
Т.е. Activation Key привязан к конкретному железу, и в нем также содержится информация о поддерживаемых фичах для данного железа.
Activation Key «живёт» отдельно от конфигурации, и если мы даже удалим весь конфиг, лицензии никуда не денутся и не потеряются.

Таким образом, если вам понадобится расширить функции понадобится обновить лицензию. Для этого звоним в циску, платим денежку, сообщаем серийник, получаем новый Activation Key и вводим его. Для активации нового кода понадобится перезагрузка.
При этом нельзя одновременно обновлять и ОС и ключ, т.е. сначала (принадобности) следует обновить ОС, перезагрузиться, и только затем обновить ключ.

Проверка Boot Source

ASDM > Configuration > Device Management > System Image/Configuration > Boot Image/Configuration

Как видно, мы можем задать список согласно которому система будет пытаться загружать различными методами и различные версии ОС. Если по списку ничего загрузить не удастся, система попытается загрузить первый попавшийся валидный образ из Flash.

CLI

Проверка

Управление доступом для администрирования ASA

ASDM > Configuration > Device Management > Management Access > ASDM/HTTPS/Telnet/SSH

Как видно, здесь настраивается метод для администрирования (telnet, ssh. asdm), интерфейс, а также разрешенные IP.

CLI

Как видно, доступ разрешён только на внутреннем интерфейсе. Не рекомендуется разрешать доступ на внешнем интерфейсе, либо максимально сужайте подсеть разрешённых адресов для подключения. Также рекомендуется отключить Telnet для подключений как небезопасный протокол.
Также можно изменить порт для http:
http server enable 8880

Проверка

Добавление пользователей

Данный пункт необходим для включения AAA.
ASDM > Configuration > Device Management > Users/AAA > User Accounts

CLI

Если пользователь будет админить ASA, всегда ставьте privilege 15, иначе будут недоступны некоторые функции.
Также здесь примечательно что в ASA для пароля используется директива «password». В контексте ASA это всегда будет означать что храниться пароль будет в шифрованном виде (в отличие от конфигурации маршрутизаторов, где требуется указывать директиву «secret»)

Читайте также:  Устройство и настройка рднк 400

Проверка

AAA Access

Вообще AAA означает Authentication Authorization and Accounting.
Для нас включение AAA означает использование для логина имени пользователя и пароля.

Без включённой AAA, для логина например через telnet понадобится ввести сначала telnet password и затем Enable Password.
Данные пароли настраиваются здесь:
ASDM > Configuration > Device Setup > Device Name/Password
CLI

Проверка

Включение AAA:
ASDM > Configuration > Device Management > Users/AAA > AAA Access > Authentication

CLI

В данном случае LOCAL означает использование локально БД. При этом конечно подразумевается, что мы создадим хотя бы одного пользователя.
Слово «console» никакого отношения к консоли или к терминалу не имеет.
Например команда aaa authentication ssh console LOCAL означает: «Методом ssh производить аутентификацию из локальной БД».

ssh, http, serial — это «methods» доступа. Вообще ещё есть telnet но мы его не упоминаем, т.к. им пользоваться не рекомендуется.
http означает использование ASDM.
Serial — доступ через консоль

Есть ещё одна полезная команда:

Без неё юзер должен сначала залогиниться под собой, затем ввести глобальный enable.
Данная команда позволяет использовать пароль текущего юзера в качестве enable.

Проверка

Certificates

ASDM > Configuration > Device Management > Certificate Management > Identity Certificates

Вообще для ASA мы можем настроить 3 типа сертификатов:

  • Self Sighned Temporary Certificate — собственный сертификат, который генерится при каждой загрузке ASA
  • Self Sighned Permanent Certificate — собственный сертификат, который генерится один раз
  • Real Certificate from PKI — сертификат сгенерённый сторонней Certificate Authority


Здесь размещаются сертификаты от CA, и, как видно, пока ни одного сертификата тут нет.

Тем не менее мы можем заходить на нашу ASA по https благодаря тому, что при каждом запуске ASA генерит Self Sighned Temporary Certificate

Добавим Self Sighned Permanent Certificate:

CLI

Statefull Packet Filtering


Принцип работы ASA заключается в работе с зонами Zones или c Security Domains.
Каждой зоне соответствует свой Security Level из диапазона 0 — 100.
Чем выше Security Level зоны, тем выше доверие к этой зоне.
При этом не столько важно какой конкретный номер присвоен какому интерфейсу, но очень важно взаимное расположение этих номеров, т.е. какой номер больше и какой меньше.

В нашем случае присутствует три зоны: интерфейсу inside соответствует Security Level 100, на outside — 0, а на dmz — 50.
С тем же успехом можно сделать и номера
inside 10
dmz 7
outside 3

По умолчанию ASA всегда пропускает трафик из зоны с более высоким Security Level в зону с более низким Security Level.
Например трафик от inside(100) в outside(0) будет пропущен, т.е. будет принято положительное Routing Decision. Но инициировать сессию в обратном направлении не удастся. Для разрешения трафика в направлении outside > inside нам нужно будет настроить отдельный ACL.
Тот же принцип используется и в работе с другими зонами независимо от их количества.

Читайте также:  Касперский 2013 родительский контроль настройка

Если капнуть чуть глубже, то на самом деле разрешается или запрещается Initial Flow Traffic. Дальше начинает работать другой важный принцип, а именно — Statefull Packet Filtering.

Statefull Packet Filtering позволяет работать не с конкретными пакетами, а с сессией.

Предположим внутренний пользователь пошёл наружу по https. Поскольку Initial Flow Traffic идёт из зоны inside(100) в зону outside(0), то он будет разрешён. ASA запоминает параметры данной сессии (source address, destination address и тп), поэтому ответ от сайта интернет также будет пропущен, несмотря на то, что формально пакеты будут двигаться outside(0) > inside(100).

Таким образом Statefull Packet Filtering позволяет работать не с пакетами, но с сессией.
Другими словами если ваш трафик был проверен и разрешён движком ASA, для этой сессии будет также разрешен и Reply Traffic и сессия будет полноценно работать.

Параметры сессий хранятся в Stateful session table.
По умолчанию ASA запоминает параметры только сессий TCP и UDP, — отсюда идёт интересное следствие: по умолчанию изнутри наружу не работает пинг (что ставит в тупик новичков), поскольку пинг использует протокол ICMP.

Добавление интерфейса outside

ASDM > Configuration > Device Setup > Interfaces
И открываем свойства интерфейса Gi1:

Здесь:
Dedicate this interface to management only — если это отметить, данный интерфейс не будет участвовать в машрутизации, но будет использоваться чисто для администрирования.

CLI

Также обратите внимание на две настройки на странице:
ASDM > Configuration > Device Setup > Interfaces

По умолчанию трафик между интерфейсами с одинаковыми Security Levels запрещён.
Причем даже применение ACL не разрешит эту проблему. Трафик запрещается «молча» и дебаг будет пустым.
Также запрещен и трафик между хостами подключёнными к одному и тому же интерфейсу.
Последнее особенно актуально при подключениях пользовательского VPN. Чтобы разрешить пользователю выходить в интернет через ASA, нужно будет отметить эту галку. Это также называется Hair-pin Forwarding.

после этого, для разрешения трафик между двумя интерфейсами с равными security level всё равно потребуется применение ACL.

На практике в 95% случаев рекомендуется сразу выполнить эти команды, чтобы избежать проблем в будущем.

Добавление шлюза

ASDM > Configuration > Device Setup > Routing > Static Routes

Здесь обратите внимание на metric на самом деле, в терминологии маршрутизации, это не метрика но Administrative Distance для данного статического маршрута.

Читайте также:  Настройки apn мтс для blackberry

CLI

Проверка
проверка маршрутизации:
ASDM > Monitoring > Routing > Routes

CLI

Проверить правильность настройки мы можем всё тем же пингом.
ASDM > Tools > ping

Еще одна замечательная вещь — это tcp ping.
tcp ping фактически отсылает TCP Syn на заданные адреса.

Данный тип пинга позволяет проверить доступность от имени любого узла, например:

пинг прошел неудачно, поскольку мы ещё не включили NAT.

Basic NAT

В заключение настроим несложный NAT.
В нашем случае это будет PAT или в терминах ASA это называется Dynamic translation with Hiding, но смысл тот же: вся внутрення сеть скрывается за одним внешним адресом.
ASDM > Configuration > Firewall > NAT Rules

CLI

Что означает данная настройка nat.
Здесь нас интересует только то, что в случае если трафик идет в направлении inside > outside, из любого источника(source dynamic) на любое destination (any), то будет активирован dynamic nat.
Директива interface означает использование для маскировки адреса внешнего интерфейса.

Ну и конечно проверим наш пинг:

Настройка DHCP Server

Configuration > Device Management > DHCP > DHCP Server
В случаях SOHO, когда ASA является чуть ли не единственным активным устройством в сети, ASA может выступать также и в роли DHCP сервера.
Для настройки DHCP необходимо выполнить следующие команды:

Интересно, что клиенту автоматически будет отдан Defaul Gateway в виде IP на интерфейсе dmz. Маска для клиента также явно не выставляется и забирается с интерфейса dmz.

Источник

Cisco asa 5505 настройка для asdm

Страницы

13 мая 2016 г.

Использование ASDM для управления Cisco ASA

interface management 0/0
nameif management
ip address 192.168.30.100 255.255.255.0
no shutdown

Настроите сохранения по команде wr mem
sh flash:

copy running-config startup-config
copy startup-config flash:

Дождитесь завершения процесса копирования и проверьте наличие файла asdm-751-112.bin во flash:

enable password cisco
username admin password cisco privilege 15
domain-name fw.blackbox.com
crypto key generate rsa general-keys modulus 1024
aaa authentication http console LOCAL
http server enable

http 192.168.30.0 255.255.255.0 management
wr mem

Перезапустите образ ASAv.

Теперь можно подключиться к ASAv по адресу https://192.168.30.100
Будет запрошен логин и пароль.

Обязательно добавьте сертификат в Доверенные корневые центры сертификации.

Установим ASDM Launcher нажав соответствующую кнопку. Можно также просто запустить ASDM нажав Run ASDM.
В случае, если на вашем компьютере не установлены компоненты Java, будет предложено их установить.

После установки запустим ASDM с ярлыка на рабочем столе.
Введем адрес, имя пользователя и пароль.

Источник

Adblock
detector