مفاهیم و پیکربندی های اولیه فایروال های ASA – سری های ۵۵۰۵, ۵۵۱۰, ۵۵۲۰,…

1397/11/12

جدولی که در ادامه می آید تفاوت بین مدل های مختلف ابزارهای امنیتی ASA5500 را نشان می دهد:

 

می توانید یک نسخه کامل از برگه اطلاعات این ابزار را از این لینک دانلود کنید.

یکی از نکات مهم به خصوص برای مهندسین تازه کاری که هنوز تجربه چندانی ندارند این است که بدانند پیکربندی فایروال کوچکی مانند ASA5505 با مدل بزرگی چون ASA5520 به واقع تفاوت چندانی ندارد. تقریبا برای پیکربندی تمامی فایروال های سری ASA5500 گام های یکسانی انجام می شود که خبر بسیار خوبی است.

اگر مجوزها  را – که امکان فعال یا غیرفعال کردن یک سری قابلیت ها را به ما می دهد- تفاوت اصلی بین اینترفیس های فیزیکی است که در هر کدام از مدل ها وجود دارد (به خصوص در مورد ASA5505 و مدل های بزرگتر ASA5520 و ASA5510)  و ماژول های احتمالی که در هر کدام از آنها نصب شده است. در هر صورت چیزی که باید در ذهن داشته باشیم این است که اگر بتوانیم یک فایروال کوچک ASA5505 را پیکربندی کنیم پیکربندی یک مدل بزرگتر سخت نخواهد بود.

در زمان نوشتن این مقاله یک فایروال ASA5505 در دسترس بود و به همین جهت برای آزمایش دستورها از آن استفاده کردیم. اما حتما به این نکته توجه داشته باشید که دستورات و فلسفه پیکربندی در تمامی ابزارهای امنیتی سری ASA5500 یکسان است.

نکته: نرم افزار ASA نسخه ۸٫۳٫۰  و نسخه های بالاتر از دستورات متفاوتی برای پیکربندی NAT استفاده می کنند. در این مقاله هم دستورات پیکربندی NAT مدل قدیمی تر (تا نسخه ۸٫۲٫۵ ) را مورد توجه قرار داده ایم و هم دستورات پیکربندی NAT نسخه های جدید (بعد از نسخه ۸٫۳)

چک لیست پیکربندی سری ASA5500

یک چک لیست پیکربندی ساده فراهم کرده ایم که به ما کمک می کند تا سرویس های پیکربندی شده روی ASA را در نظر داشته باشیم. در ادامه لیستی از مواردی که در ادامه به آنها خواهیم پرداخت ارائه شده است:

  • پاک کردن پیکربندی فعلی
  • پیکربندی نام میزبان، کلمه عبور Enable و غیرفعال کردن گزارش گیری ناشناس
  • پیکربندی آدرس های IP اینترفیس ها یا آدرس های IP مربوط به VLAN ها (ASA5505) و توضیحات
  • تنظیم اینترفیس های inside (خصوصی) و outside (عمومی)
  • تنظیم مسیر پیش فرض (default gateway) و مسیرهای استاتیک
  • پیکربندی ترجمه آدرس شبکه (NAT) برای شبکه های داخلی
  • پیکربندی سرور DHCP ASA
  • پیکربندی احراز هویت AAA برای احراز هویت کاربر از طریق پایگاه داده محلی (local database)
  • پیکربندی مدیریت از طریق http برای اینترفیس inside
  • فعال کردن مدیریت از طریق SSH و Telnet برای اینترفیس های  inside و outside
  • ایجاد، پیکربندی و اعمال TCP/UDP Object-Groups برای لیست های دسترسی فایروال
  • پیکربندی لیست های دسترسی برای اینترفیس های inside و outside
  • اعمال لیست های دسترسی برای اینترفیس های inside و outside
  • پیکربندی سابقه گیری/اشکال یابی برای رویدادها و خطاها

نکته: جهت مقابله با از دست دادن پیکربندی ASA اکیدا توصیه می کنیم مرتبا پیکربندی را ذخیره کنید تا درصورتی که برق ناگهانی قطع شد یا ابزار ریستارت شد کارهای انجام شده از بین نرود.

می توانید به راحتی با دستور write memory این کار را انجام دهید.

ASA5505(config)# write memory
Building configuration…
Cryptochecksum: c0aee665 598d7cd3 7fbfe1a5 a2d40ab1
۳۲۷۰ bytes copied in 1.520 secs (3270 bytes/sec)
[OK]

پاک کردن پیکربندی فعلی فایروال

اولین گام دلخواه است زیرا پیکربندی دیواره آتش را پاک می کند. اگر فایروال قبلا پیکربندی یا استفاده شده شروع کردن کار از تنظیماتی که به صورت پیش فرض در کارخانه انجام شده ایده خوبی است. اگر اطمینان خاطر نداریم بهترین کار این است که اطلاعات را پاک کرده و از ابتدا شروع کنیم. بعد از اینکه پیکربندی دستگاه پاک شد لازم است دستگاه را مجددا راه اندازی کنیم با این وجود دقت داشته باشید که نباید پیکربندی فعلی را ذخیره کنیم چون با این کار تنظیمات فعلی روی startup-config ذخیره می شود و در نتیجه همین فرایند را باید مجددا تکرار کنیم.

ciscoasa(config)# write erase
Erase configuration in flash memory? [confirm] [OK] ciscoasa(config)# reload
System config has been modified. Save? [Y]es/[N]o: N
Proceed with reload? [confirm] ciscoasa(config)#
***
*** — START GRACEFUL SHUTDOWN —
Shutting down isakmp
Shutting down webvpn
Shutting down File system
***
*** — SHUTDOWN NOW —
Process shutdown finished
Rebooting…..

پیکربندی نام میزبان، کاربران، کلمه عبور enable و غیرفعال کردن گزارش گیری ناشناس

گام بعدی فعال کردن کلمه عبور enable است که امکان دسترسی به مد کاربری Priviledge را به کاربر می دهد و سپس کاربرانی را که به فایروال دسترسی دارند پیکربندی می کنیم. فایروال سیسکو در هنگام ورود نام کاربری از کاربر درخواست نمی کند اما کلمه عبور enable پیش فرض cisco است که برای دسترسی به حالت کاربری Priveledge ضروری است:

Ciscoasa> enable
Password: cisco
ciscoasa# configure terminal
ciscoasa(config)#
***************************** NOTICE *****************************
Help to improve the ASA platform by enabling anonymous reporting,
which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to help improve
the product? [Y]es, [N]o, [A]sk later: N

In the future, if you would like to enable this feature,
issue the command “call-home reporting anonymous”.
Please remember to save your configuration.

At this point we need to note that when starting off with the factory default configuration, as soon as we enter the ‘configure terminal’ command, the system will ask if we would like to enable Cisco’s call-home reporting feature. We declined the offer and continued with our setup:

ciscoasa(config)# hostname ASA5505
ASA5505(config)# enable password firewall.cx
ASA5505(config)# username admin password s1jw$528ds2 privilege 15

در این جا باید دقت داشته باشیم که زمانی که با تنظیمات پیش فرض کارخانه کارمان را شروع می کنیم به محض وارد کردن دستور configure terminal سیستم از شما سوال می کند که آیا می خواهید قابلیت گزارش به شرکت سیسکو (call-home reporting) را فعال کنید. این پیشنهاد را رد کرده و به تنظیمات ادامه می دهیم. پارامتر privilege 15 در انتهای دستور بالا برای اطمینان از این نکته است که به سیستم بفهمانیم این نام کاربری باید دسترسی کامل به تمامی دستورات پیکربندی شامل پاک کردن پیکربندی و فایل های روی دیسک flash مانند سیستم عامل است.

پیکربندی آدرس های IP اینترفیس ها/ آدرس های IP مربوط به VLAN ها و توضیحات

بسته به ابزار ASA که داریم می توانیم اینترفیس های فیزیکی (inside/outside) را پیکربندی کنیم –معمولا در مدل های ASA5510 و بالاتر یا VLAN هایی (inside/outside) ایجاد کنیم و برای آنها پیکربندی آدرس های IP را انجام دهیم که معمولا در مدل های کوچک تر مانند ASA5505 انجام می شود. با این وجود بسیاری از مهندسین شبکه در مدل های بزرگتر ASA5500 نیز از VLAN ها استفاده می کنند با این وجود این مسئله به قابلیت های مربوط به مجوزها، تنظیم شبکه فعلی و موارد دیگر دارد.

در صورتی که از مدل ASA5505 استفاده می کنیم باید از اینترفیس های VLAN استفاده کنیم که با آدرس های IP مناسب پیکربندی شده اند و سپس (درگام بعدی) به عنوان اینترفیس های inside (خصوصی) و outside (عمومی) پیکربندی می کنیم.

ASA5505(config)# interface vlan 1
ASA5505(config)# description Private-Interface
ASA5505(config-if)# ip address 10.71.0.1 255.255.255.0
ASA5505(config-if)# no shutdown
!
ASA5505(config)# interface vlan 2
ASA5505(config)# description Public-Interface
ASA5505(config-if)# ip address 192.168.3.50 255.255.255.0
ASA5505(config-if)# no shutdown
!
ASA5505(config)# interface ethernet 0/0
ASA5505(config-if)# switchport access vlan 2
ASA5505(config-if)# no shutdown

به همین ترتیب، اینترفیس عمومی (Public)، یا همان VLAN2 را می توان طوری پیکربندی کرد که آدرس خود را به صورت خودکار از سرویس دهنده DHCP دریافت کند:

ASA5505(config)# interface vlan 2
ASA5505(config)# description Public-Interface
ASA5505(config-if)# ip address dhcp setroute
ASA5505(config-if)# no shutdown

پارامتر setroute که در انتهای دستور قرار داده شده تایید می کند که فایروال ASA مسیرپیش فرض خودش را با توجه به پارامتر ارسالی از سوی سرویس دهنده DHCP تنظیم می کند. بعد از اینکه VLAN1 و VLAN2 را با آدرس های مناسب پیکربندی کردیم، ethernet0/0 را به عنوان لینک دسترسی به VLAN2 پیکربندی می کنیم تا بتوانیم از آن به عنوان اینترفیس عمومی فیزیکی استفاده کنیم. حداقل یکی از ۸ اینترفیس اترنت که ASA5505 دارد حداقل باید یکی با دستور switchport access vlan 2 تنظیم شود در غیر این صورت هیچ گونه اینترفیس فیزیکی روی ASA نداریم تا به عنوان پیشانی (frontend) مورد استفاده قرار گرفته و مسیریاب به آن متصل شود. علاوه بر این پورت های eth0/1 تا eth0/7 باید با دستور no shutdown به حالت عملیاتی وارد شوند. به صورت پیش فرض تمامی این پورت ها لینک های دسترسی به VLAN1 پیکربندی شده اند با توجه به اینکه دستورهای پیکربندی برای تمامی پورت ها یکسان است فقط دستورات مربوط به دو پورت اول ذکر شده است.

ASA5505(config)# interface ethernet 0/1
ASA5505(config-if)# no shutdown
ASA5505(config-if)# interface ethernet 0/2
ASA5505(config-if)# no shutdown

تنظیم اینترفیس های inside (خصوصی)  و outside (عمومی)

در گام بعدی باید اینترفیس های inside (خصوصی) و public (عمومی)  را اختصاص دهیم. این گام حیاتی است و به ASA کمک می کند تا متوجه شود که کدام اینترفیس به بخش قابل اعتماد (trusted) شبکه ارتباط دارد و کدام اینترفیس به بخش غیرقابل اعتماد (عمومی) شبکه متصل است.

ASA5505(config)# interface vlan 1
ASA5505(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
!
ASA5505(config)# interface vlan 2
ASA5505(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.

فایروال ASA به صورت خودکار سطح امنیتی را برای اینترفیس های داخلی ۱۰۰  و برای اینترفیس های خارجی ۰  تنظیم می کند. ترافیک می تواند از سطح بالا به سطح پایین جریان داشته باشد (از خصوصی به عمومی) اما مسیر برعکس قابل استفاده نیست مگر اینکه صراحتا به کمک لیست های کنترل دسترسی مشخص شده باشد. برای تغییر سطح امنیتی یک اینترفیس از دستور security-level xxx استفاده می کنیم که می توان XXX را با عددی در محدوده ۰ تا ۱۰۰ جایگزین کرد. هر چه قدر عدد بزرگتر باشد سطح امنیتی بالاتر است. اینترفیس های DMZ به صورت پیش فرض با سطح امنیتی ۵۰ پیکربندی می شوند.

نکته مهم اینجاست که احتیاط ضروری جهت انتخاب و اعمال اینترفیس های inside/outside را در هر فایروال ASA درنظر گرفت.

پیکربندی Default route (دروازه پیش فرض) و مسیرهای استاتیک

برای اینکه ASA بتواند بسته های داده ای را از طریق گام بعدی (next hop) که معمولا یک مسیریاب است به خارج از شبکه هدایت کند اجرای دستور مربوط به پیکربندی مسیر پیش فرض ضروری است. در صورتی که اینترفیس عمومی (VLAN2) با دستور ip address dhcp setroute پیکربندی شده باشد احتیاجی به پیکربندی مسیر پیش فرض وجود ندارد.

ASA5505(config)# route outside 0.0.0.0 0.0.0.0 192.168.3.1

بعد از اجرای این دستور بهتر است بررسی کنیم که مسیریاب گام بعدی از طریق ASA قابل دسترسی است.

ASA5505(config)# ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

در شبکه هایی که چندین اینترفیس VLAN دارند برای اطمینان از اینکه ASA نحوه دسترسی به آنها را می داند باید برای آنها مسیرهای استاتیک تنظیم کرد. معمولا این شبکه ها از طریق سوئیچ لایه سه یا مسیریاب داخلی قابل دسترسی اند. برای این مثال، فرض می کنیم که دو شبکه داریم: ۱۰٫۷۵٫۰٫۰/۲۴ و ۱۰٫۷۶٫۰٫۰/۲۴ که باید امکان دسترسی به اینترنت را داشته باشند. این شبکه های اضافی از طریق یک ابزار لایه سه با آدرس ۱۰٫۷۱٫۰٫۱۰۰ قابل دسترسی اند.

 


نظرات کاربران
ارسال نظر