tässä on Don Crawleyn, Accidental Administrator book-kirjasarjan kirjoittajan, minulle lähettämä vieras viesti. Se on ote hänen uusimmasta: The Accidental Administrator: Cisco ASA Security Appliance: a Step-by-Step Configuration Guide
Ciscon tietoturvalaitteen konfigurointiin on kirjaimellisesti tuhansia komentoja ja alikomentoja. Kun saat tietoa laitteesta, käytät yhä enemmän komentoja. Aluksi laitteen perustoimintojen määrittämiseen tarvitaan kuitenkin vain muutama komento. Perustoiminnallisuus on määritelty niin, että sisäisillä isännillä on pääsy ulkopuolisiin isäntiin, mutta ulkopuolisilla isännillä ei ole pääsyä sisäisiin isäntiin. Lisäksi hallinta on sallittava vähintään yhdeltä sisäiseltä isännältä. Perustoimintojen mahdollistamiseksi on kahdeksan peruskomennoa(nämä komennot perustuvat ohjelmistoversioon 8.3(1) tai suurempaan):
- interface
- nameif
- security-level
- ip-osoite
- switchport access
- object network
- Nat
- route
interface
interface-komento tunnistaa joko konfiguroitavan laitteistoliittymän tai switch Virtual Interfacen (vlan interface). Kun olet käyttöliittymäasetustilassa, voit määrittää fyysiset liitännät switchportsille ja ottaa ne käyttöön (kytkeä ne päälle) tai voit määrittää nimet ja suojaustasot VLAN-rajapinnoille.
nameif
nameif-komento antaa käyttöliittymälle nimen ja määrittää suojaustason. Tyypillisiä nimiä ovat ulkoa, sisältä tai DMZ.
turvataso
turvatasot ovat numeerisia arvoja, jotka vaihtelevat 0: sta 100: aan ja joita laite käyttää liikennevirran ohjaamiseen. Liikenne saa kulkea korkeamman turvatason rajapinnoista alemman turvatason rajapintoihin, mutta ei toiseen suuntaan. Kulkulupalistoja on käytettävä, jotta liikenne pääsee kulkemaan alemmilta turvatasoilta korkeammille turvatasoille. Ulkopuolisen käyttöliittymän oletusturvataso on 0. Sisärajapinnassa oletusturvataso on 100. Seuraavassa näytekokoonpanossa käyttöliittymäkomentoa käytetään ensin VLAN: n sisä-ja ulkopuolella olevien rajapintojen nimeämiseen, sitten DMZ-liitäntä nimetään ja sille annetaan suojaustaso 50. liitäntä vlan1 nameif Inside interface vlan2 nameif outside interface vlan3 nameif DMZ security-level 50
ciscoasa(config)#
CISCOASA (config-if)#
INFO: ”inside” – suojaustaso oletusarvoisesti 100.
ciscoasa(config-if)#
ciscoasa (config-if)#
INFO: ”ulkopuolisen” turvataso oletusarvoisesti 0.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if)#
ip-osoite
ip-osoitekomento antaa IP-osoitteen VLAN-liittymälle joko staattisesti tai tekemällä siitä DHCP-asiakkaan. Moderneilla versioilla security appliance software, se ei ole tarpeen nimenomaisesti määrittää oletuksena aliverkon Maskit. Jos käytät ei-standardi naamarit, sinun on nimenomaisesti määrittää maski, muuten, se ei ole tarpeen. rajapinta vlan 1 ip-osoite 192.168.1.1
seuraavassa näytekokoonpanossa IP-osoite osoitetaan VLAN 1: lle, sisäiselle rajapinnalle.
ciscoasa(config-if)#
ciscoasa (config-if))#
switchport access
switchport access command on ASA 5505 security appliance assigns a physical interface to a logical (VLAN) interface. Seuraavassa esimerkissä rajapintakomentoa käytetään fyysisten rajapintojen tunnistamiseen, niiden määrittämiseen laitteen kytkinportteihin ja niiden käyttöönottoon (kytkemiseen päälle). Tätä komentoa ei käytetä ASA 55×0-laitteissa. liitäntä ethernet-0/0 switchport access vlan 2 n sammutus-liitäntä ethernet 0/1 switchport access vlan 1 o sammutus
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
objekti verkko obj_any
objekti verkko obj_any selvitys luo objektin nimeltä ”obj_any”. (Sinun ei tarvitse nimetä objektia ”obj_any”; se on kuvaava nimi, mutta voit yhtä hyvin nimetä sen ”Juan”.) Verkkoasetuksessa todetaan, että tämä tietty objekti perustuu IP-osoitteisiin. Aliverkon 0.0.0.0 0.0.0.0 komento sanoo, että obj_any vaikuttaa kaikkiin IP-osoitteisiin, joita ei ole määritetty missään muussa objektissa.object network obj_any aliverkko 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
Nat-lauseke, kuten alla on esitetty, kertoo palomuurin sallivan kaiken sisäisen ja ulkoisen liikenteen käyttää dynaamisesti mitä osoitetta tahansa (DHCP) määritetty ulkopuolella käyttöliittymä.Nat(inside,outside) dynaaminen liitäntä
ciscoasa (config)#
route
reittikomento määrittää perusmuodossaan oletusväylän liikennettä varten, tyypillisesti ISP: n reitittimelle. Sitä voidaan käyttää myös access-luetteloiden yhteydessä tietyntyyppisen liikenteen lähettämiseen tietyille isännille tietyissä aliverkoissa. outside tunnistaa rajapinnan, jonka kautta liikenne kulkee oletusreitille. reitti 0 0: n ulkopuolella 12.3.4.6
tässä esimerkkikokoonpanossa reittikomennon avulla määritetään oletusreitti ISP: n reitittimeen kohdassa 12.3.4.6. Kaksi nollaa ennen ISP: n reitittimen osoitetta ovat pikakirjoitusta IP-osoitteelle 0.0.0.0 ja maskille 0.0.0.0. Toteamus
ciscoasa (config-if)#
yllä olevat komennot luovat hyvin perustason palomuurin, mutta hienostuneen laitteen, kuten Cisco PIX: n tai ASA: n tietoturvalaitteen käyttäminen tällaisten palomuurin perustoimintojen suorittamiseen on liioittelua. palvelinnimi palomuurin tunnistamiseksi, telnet tai SSH etähallinnan mahdollistamiseksi, DHCPD-komennot, joiden avulla palomuuri voi määrittää IP-osoitteita isäntien sisällä, ja staattiset reitti-ja käyttöoikeusluettelokomentot, joiden avulla sisäiset isännät, kuten DMZ-verkkopalvelimet tai DMZ-sähköpostipalvelimet, voivat olla Internet-isäntien käytettävissä.
muita käytettäviä komentoja ovat
tässä on näytteen peruskokoonpano:
näytteen peruskokoonpano
Ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: suojaustaso ”sisällä” asetettu 100 oletusarvoisesti.
ciscoasa(config-if)# interface vlan2
ciscoasa (config-if)# nameif outside
INFO: ”outside” – suojaustaso oletusarvoisesti 0.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if))# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# IP-osoite 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip-osoite 192.168.1.1
ciscoasa(config-if)# route outside 0 0 12.3.4.6
ciscoasa(config-if)#object network obj_any
ciscoasa(config-Network-Object)#aliverkosto 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (inside,outside) dynamic interface
ciscoasa(config)#exit
ote the accidental administrator: Cisco ASA Security Appliance: a step-by-step Configuration Guide by Don R. Crawley
käyttää lupaa.
tekijästä
The Accidental Administrator: Cisco ASA Security Appliance: a Step-by-Step Configuration Guide and President of soundtraining.net Seattlessa Washingtonissa toimiva IT – alan koulutusyritys. Hän on IT-alan veteraani, jolla on yli 35 vuoden kokemus työpaikan teknologiasta. Hänellä on useita sertifikaatteja Microsoftin, Ciscon ja Linuxin tuotteista. Don tavoittaa numerosta (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley kirjoittanut vahingossa Administrator – kirjasarjan IT-ammattilaisille mm.