Hier ist ein Gastbeitrag von Don Crawley, Autor der Buchreihe Accidental Administrator. Es ist ein Auszug aus seinem neuesten: Der Systemadministrator: Cisco ASA Security Appliance: Eine Schritt-für-Schritt-Konfigurationsanleitung
Es stehen buchstäblich Tausende von Befehlen und Unterbefehlen zur Konfiguration einer Cisco Security Appliance zur Verfügung. Wenn Sie sich mit der Appliance vertraut machen, werden Sie immer mehr Befehle verwenden. Zunächst sind jedoch nur wenige Befehle erforderlich, um die grundlegenden Funktionen der Appliance zu konfigurieren. Die Basisfunktionalität ist so definiert, dass interne Hosts auf externe Hosts zugreifen können, externe Hosts jedoch nicht auf die internen Hosts zugreifen können. Darüber hinaus muss die Verwaltung von mindestens einem internen Host aus zulässig sein. Um die Basisfunktionalität zu aktivieren, gibt es acht Basisbefehle (diese Befehle basieren auf Softwareversion 8.3 (1) oder höher):
- Schnittstelle
- nameif
- Sicherheitsstufe
- IP-Adresse
- Switchport-Zugriff
- Objektnetzwerk
- nat
- route
interface
Der Befehl interface identifiziert entweder die Hardwareschnittstelle oder die virtuelle Switch-Schnittstelle (VLAN-Schnittstelle), die konfiguriert werden soll. Im Schnittstellenkonfigurationsmodus können Sie Switchports physische Schnittstellen zuweisen und aktivieren (aktivieren) oder VLAN-Schnittstellen Namen und Sicherheitsstufen zuweisen.
nameif
Der Befehl nameif gibt der Schnittstelle einen Namen und weist eine Sicherheitsstufe zu. Typische Namen sind outside, inside oder DMZ.
Sicherheitsstufe
Sicherheitsstufen sind numerische Werte von 0 bis 100, die von der Appliance zur Steuerung des Datenverkehrs verwendet werden. Der Datenverkehr darf von Schnittstellen mit höheren Sicherheitsstufen zu Schnittstellen mit niedrigeren Sicherheitsstufen fließen, nicht jedoch umgekehrt. Zugriffslisten müssen verwendet werden, damit der Datenverkehr von niedrigeren Sicherheitsstufen zu höheren Sicherheitsstufen fließen kann. Die Standardsicherheitsstufe für eine externe Schnittstelle ist 0. Für eine interne Schnittstelle ist die Standardsicherheitsstufe 100. In der folgenden Beispielkonfiguration wird der Schnittstellenbefehl zuerst verwendet, um die inneren und äußeren VLAN-Schnittstellen zu benennen, dann wird die DMZ-Schnittstelle benannt und eine Sicherheitsstufe von 50 zugewiesen. interface vlan1 nameif inside interface vlan2 nameif outside interface vlan3 nameif dmz Sicherheitsstufe 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: Sicherheitsstufe für „inside“ standardmäßig auf 100 gesetzt.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: Sicherheitsstufe für „outside“ standardmäßig auf 0 gesetzt.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ip address
Der Befehl ip address weist einer VLAN-Schnittstelle eine IP-Adresse zu, entweder statisch oder indem er sie zu einem DHCP-Client macht. Bei modernen Versionen von Security Appliance-Software ist es nicht erforderlich, Standardsubnetzmasken explizit zu konfigurieren. Wenn Sie nicht standardmäßige Masken verwenden, müssen Sie die Maske explizit konfigurieren, andernfalls ist dies nicht erforderlich. schnittstelle vlan 1 IP-Adresse 192.168.1.1
In der folgenden Beispielkonfiguration wird VLAN 1, der inneren Schnittstelle, eine IP-Adresse zugewiesen.
ciscoasa(config-if)#
ciscoasa(config-if)#
switchport access
Der Befehl switchport access auf der ASA 5505 Security Appliance weist einer logischen (VLAN) Schnittstelle eine physische Schnittstelle zu. Im nächsten Beispiel wird der Befehl interface verwendet, um physische Schnittstellen zu identifizieren, sie Switchports auf der Appliance zuzuweisen und sie zu aktivieren (einzuschalten). Dieser Befehl wird auf den ASA 55×0-Appliances nicht verwendet. schnittstelle ethernet 0/0 Switchport-Zugriff vlan 2 keine Abschaltung Schnittstelle ethernet 0/1 Switchport-Zugriff vlan 1 keine Abschaltung
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if) config-if)#
ciscoasa(config-if)#
object network obj_any
Die Anweisung object network obj_any erstellt ein Objekt mit dem Namen „obj_any“. (Sie müssen das Objekt nicht „obj_any“ nennen; das ist ein beschreibender Name, aber Sie könnten es genauso gut „Juan“ nennen.) Die Option Netzwerk gibt an, dass dieses bestimmte Objekt auf IP-Adressen basiert. Der Befehl subnet 0.0.0.0 0.0.0.0 gibt an, dass obj_any jede IP-Adresse betrifft, die für kein anderes Objekt konfiguriert ist.object network obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
Die unten gezeigte nat-Anweisung teilt der Firewall mit, dass der gesamte Datenverkehr, der von der inneren zur äußeren Schnittstelle fließt, die dynamisch (DHCP) konfigurierte Adresse verwenden soll auf der äußeren Schnittstelle.nat (inside,outside) dynamic interface
ciscoasa(config)#
route
Der Befehl route weist in seiner einfachsten Form eine Standardroute für den Datenverkehr zu, normalerweise dem Router eines ISPS. Es kann auch in Verbindung mit Zugriffslisten verwendet werden, um bestimmte Arten von Datenverkehr an bestimmte Hosts in bestimmten Subnetzen zu senden. outside identifiziert die Schnittstelle, über die der Datenverkehr fließt, um die Standardroute zu erreichen. route outside 0 0 12.3.4.6
In dieser Beispielkonfiguration wird der Befehl route verwendet, um eine Standardroute zum Router des ISP unter 12.3.4.6 zu konfigurieren. Die beiden Nullen vor der Router-Adresse des ISP sind eine Abkürzung für eine IP-Adresse von 0.0.0.0 und eine Maske von 0.0.0.0. Die Anweisung
ciscoasa(config-if)#
Die obigen Befehle erstellen eine sehr einfache Firewall. hostname, um die Firewall zu identifizieren, Telnet oder SSH, um die Remoteverwaltung zu ermöglichen, DHCPD-Befehle, damit die Firewall internen Hosts IP-Adressen zuweisen kann, und statische Route- und Zugriffslistenbefehle, damit interne Hosts wie DMZ-Webserver oder DMZ-Mailserver für Internethosts zugänglich sind.
Weitere zu verwendende Befehle sind
Hier ist eine Beispiel-Basiskonfiguration:
Beispiel-Basiskonfiguration
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Sicherheitsstufe für „inside“ standardmäßig auf 100 gesetzt.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Sicherheitsstufe für „outside“ standardmäßig auf 0 gesetzt.
ciscoasa(config-if)# Schnittstelle ethernet 0/0
ciscoasa(config-if)# Switchport-Zugriff vlan 2
ciscoasa(config-if)# kein Herunterfahren
ciscoasa(config-if)# Schnittstelle Ethernet 0/1
ciscoasa(config-if)# Switchport-Zugriff vlan 1
ciscoasa(config-if)# kein Herunterfahren
ciscoasa(config-if)# Schnittstelle vlan 2
ciscoasa(config-if)# IP-Adresse 12.3.4.5
ciscoasa(config-if)# Schnittstelle vlan 1
ciscoasa(config-if)# IP-Adresse 192.168.1.1
ciscoasa(config-if)# route außerhalb 0 0 12.3.4.6
ciscoasa(config-if)#Objektnetzwerk obj_any
ciscoasa(config-network-object)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (innen, außen) dynamische Schnittstelle
ciscoasa(config)#exit
Auszug aus dem folgenden Administrator: Cisco ASA Security Appliance: Eine Schritt-für-Schritt-Konfigurationsanleitung von Don R. Crawley
Mit Genehmigung verwendet.
Über den Autor
Der Systemadministrator: Cisco ASA Security Appliance: Eine Schritt-für-Schritt-Konfigurationsanleitung und Präsident von soundtraining.net ein in Seattle, Washington, ansässiges IT-Schulungsunternehmen. Er ist ein erfahrener IT-Mann mit über 35 Jahren Erfahrung in der Technologie für den Arbeitsplatz. Er verfügt über mehrere Zertifizierungen für Microsoft-, Cisco- und Linux-Produkte. Don kann unter (206) 988-5858 erreicht werden www.soundtraining.net [email protected]
Don R. Crawley Autor der Accidental Administrator Reihe von Büchern für IT-Profis, darunter