hier is een gast bericht naar mij gestuurd door Don Crawley, auteur van de Accidental Administrator book serie. Het is een uittreksel uit zijn laatste: The Accidental Administrator: Cisco ASA Security Appliance: A Step-by-Step Configuration Guide
er zijn letterlijk duizenden commando ’s en sub-commando’ s beschikbaar om een Cisco security appliance te configureren. Naarmate je kennis van het apparaat krijgt, zul je meer en meer van de commando ‘ s gebruiken. In eerste instantie zijn er echter slechts een paar commando ‘ s nodig om de basisfunctionaliteit op het apparaat te configureren. Basisfunctionaliteit wordt gedefinieerd als het toestaan van binnen hosts om toegang te krijgen tot buiten hosts, maar niet het toestaan van buiten hosts om toegang te krijgen tot de binnen hosts. Daarnaast moet beheer worden toegestaan van ten minste één binnen host. Om basisfunctionaliteit in te schakelen, zijn er acht basiscommando ‘ s (deze zijn gebaseerd op softwareversie 8.3(1) of hoger):
- interface
- nameif
- security-level
- ip adres
- switchport access
- object netwerk
- nat
- route
interface
De interface opdracht geeft de hardware-interface of de Schakelaar Virtuele Interface (VLAN interface) dat zal worden geconfigureerd. Eenmaal in de interface configuratiemodus, kunt u fysieke interfaces toewijzen aan switchports en deze inschakelen (inschakelen) of u kunt namen en beveiligingsniveaus toewijzen aan VLAN-interfaces.
nameif
het commando nameif geeft de interface een naam en kent een beveiligingsniveau toe. Typische namen zijn buiten, binnen, of DMZ.
veiligheidsniveau
veiligheidsniveaus zijn numerieke waarden, variërend van 0 tot 100, die door het apparaat worden gebruikt om de verkeersstroom te regelen. Het verkeer mag van interfaces met hogere veiligheidsniveaus naar interfaces met lagere veiligheidsniveaus stromen, maar niet andersom. Toegangslijsten moeten worden gebruikt om het verkeer van lagere veiligheidsniveaus naar hogere veiligheidsniveaus te laten stromen. Het standaard beveiligingsniveau voor een interface buiten is 0. Voor een binneninterface is het standaard beveiligingsniveau 100. In de volgende voorbeeldconfiguratie wordt het interface Commando eerst gebruikt om de binnen en buiten VLAN interfaces een naam te geven, vervolgens wordt de DMZ interface een naam gegeven en wordt er een beveiligingsniveau van 50 aan toegekend. interface vlan1 nameif binnen interface vlan2 nameif buiten interface vlan3 nameif DMZ beveiligingsniveau 50
ciscoasa(config)#
CISCOASA (config-if)#
INFO: beveiligingsniveau voor “inside” standaard ingesteld op 100.
ciscoasa(config-if)#
ciscoasa (config-if)#
INFO: beveiligingsniveau voor “buiten” is standaard ingesteld op 0.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if)#
ip-adres
het ip-adres-Commando wijst een IP-adres toe aan een VLAN-interface, statisch of door er een DHCP-client van te maken. Met moderne versies van security appliance software is het niet nodig om expliciet standaard subnetmaskers te configureren. Als u niet-standaard maskers gebruikt, moet u het masker expliciet configureren, anders is het niet nodig. interface vlan 1 ip-adres 192.168.1.1
In de volgende voorbeeldconfiguratie wordt een IP-adres toegewezen aan VLAN 1, de binneninterface.
ciscoasa (config-if)#
ciscoasa (config-if))#
switchport access
het switchport access commando op de ASA 5505 security appliance wijst een fysieke interface toe aan een logische (VLAN) interface. In het volgende voorbeeld wordt het interface commando gebruikt om fysieke interfaces te identificeren, ze toe te wijzen aan switchports op het apparaat, en ze in te schakelen (zet ze aan). Dit commando wordt niet gebruikt op de ASA 55×0 toestellen. interface ethernet 0/0 switchport access vlan 2 geen shutdown-interface ethernet 0/1 switchport access vlan 1 geen shutdown
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
object netwerk obj_any
Het object netwerk obj_any instructie maakt een object met de naam “obj_any”. (U hoeft het object niet “obj_any” te noemen; dat is een beschrijvende naam, maar u kunt het ook “Juan”noemen.) De netwerkoptie geeft aan dat dit specifieke object gebaseerd zal zijn op IP-adressen. Het subnet 0.0.0.0 0.0.0.0 Commando stelt dat obj_any elk IP-adres zal beïnvloeden dat niet is geconfigureerd op een ander object.object netwerk obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa (config-network-object)#
nat
het nat statement, zoals hieronder getoond, vertelt de firewall om al het verkeer dat van binnen naar buiten stroomt toe te staan om het adres te gebruiken dat dynamisch is geconfigureerd (DHCP) op de buiteninterface.nat(inside,outside) dynamic interface
ciscoasa (config)#
route
het route commando, in zijn meest basale vorm, kent een standaard route toe voor verkeer, meestal aan de router van een ISP. Het kan ook worden gebruikt in combinatie met access-lists om specifieke soorten verkeer naar specifieke hosts op specifieke subnetten te sturen. outside identificeert de interface waardoor het verkeer zal stromen om de standaard route te bereiken. route buiten 0 0 12.3.4.6
in deze voorbeeldconfiguratie wordt het route commando gebruikt om een standaard route naar de router van de ISP op 12.3.4.6 in te stellen. De twee nullen voor het routeradres van de ISP zijn een afkorting voor een IP-adres van 0.0.0.0 en een masker van 0.0.0.0. Het statement
ciscoasa (config-if)#
de bovenstaande commando ‘ s maken een zeer basis firewall, echter, het gebruik van een geavanceerd apparaat zoals een Cisco PIX of ASA security appliance om dergelijke basis firewall functies uit te voeren is overkill. hostnaam om de firewall te identificeren, telnet of SSH om beheer op afstand toe te staan, DHCPD commando ’s om de firewall toe te staan IP adressen toe te wijzen aan binnen hosts, en statische route en access-list commando’ s om interne hosts zoals DMZ webservers of DMZ mail servers toegankelijk te maken voor internet hosts.
andere te gebruiken commando ‘ s zijn
hier is een voorbeeldbasisconfiguratie:
Voorbeeldbasisconfiguratie
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: beveiligingsniveau voor “inside” standaard ingesteld op 100.
ciscoasa( config-if)# interface vlan2
ciscoasa(config-if) # nameif outside
INFO: beveiligingsniveau voor “outside” standaard ingesteld op 0.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# geen shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip-adres 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip-adres 192.168.1.1
ciscoasa(config-if)# route buiten 0 0 12.3.4.6
ciscoasa(config-if)#object netwerk obj_any
ciscoasa(config-network-object)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (binnen,buiten) dynamische interface
ciscoasa(config)#exit
een Uittreksel uit De Toevallige Beheerder: Cisco ASA Security Appliance: Een Stap-voor-Stap Configuratie Gids door Don R. Crawley
Gebruikt met toestemming.
over de auteur
The Accidental Administrator: Cisco ASA Security Appliance: A Step-by-Step Configuration Guide and President of soundtraining.net een IT-trainingsbedrijf in Seattle, Washington. Hij is een ervaren IT-man met meer dan 35 jaar ervaring in technologie voor de werkplek. Hij heeft meerdere certificeringen voor Microsoft, Cisco en Linux producten. Don is te bereiken op (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley auteur van de Accidental Administrator serie boeken voor IT-professionals, waaronder