Ecco un guest post inviato a me da Don Crawley, autore della serie di libri Accidental Administrator. Si tratta di un estratto dal suo ultimo: L’amministratore accidentale: Cisco ASA Security Appliance: Una guida alla configurazione passo-passo
Ci sono letteralmente migliaia di comandi e sottocomandi disponibili per configurare un Cisco security appliance. Man mano che acquisisci conoscenza dell’apparecchio, userai sempre più comandi. Inizialmente, tuttavia, ci sono solo alcuni comandi necessari per configurare le funzionalità di base sull’appliance. La funzionalità di base è definita come consentire agli host interni di accedere agli host esterni, ma non consentire agli host esterni di accedere agli host interni. Inoltre, la gestione deve essere consentita da almeno un host interno. Per abilitare la funzionalità di base, ci sono otto comandi di base (questi comandi sono basati sulla versione software 8.3 (1) o superiore):
- interfaccia
- nameif
- livello di protezione
- switchport access
- nat
- route
rete
interfaccia
L’interfaccia di comando identifica l’interfaccia hardware o l’Interruttore di Interfaccia Virtuale (VLAN interfaccia) che sarà configurato. Una volta in modalità di configurazione dell’interfaccia, è possibile assegnare interfacce fisiche a switchports e abilitarli (accenderli) oppure è possibile assegnare nomi e livelli di sicurezza alle interfacce VLAN.
nameif
Il comando nameif assegna all’interfaccia un nome e assegna un livello di sicurezza. I nomi tipici sono fuori, dentro o DMZ.
livello di sicurezza
I livelli di sicurezza sono valori numerici, compresi tra 0 e 100, utilizzati dall’appliance per controllare il flusso del traffico. Il traffico può fluire da interfacce con livelli di sicurezza più elevati a interfacce con livelli di sicurezza più bassi, ma non viceversa. Gli elenchi di accesso devono essere utilizzati per consentire al traffico di fluire da livelli di sicurezza più bassi a livelli di sicurezza più elevati. Il livello di sicurezza predefinito per un’interfaccia esterna è 0. Per un’interfaccia interna, il livello di sicurezza predefinito è 100. Nella seguente configurazione di esempio, il comando di interfaccia viene prima utilizzato per denominare le interfacce VLAN interne ed esterne, quindi viene denominata l’interfaccia DMZ e viene assegnato un livello di sicurezza di 50. interfaccia vlan1 nameif inside interface vlan2 nameif outside interface vlan3 nameif dmz security-level 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: Livello di sicurezza per “inside” impostato su 100 per impostazione predefinita.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: Livello di sicurezza per “esterno” impostato su 0 per impostazione predefinita.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
indirizzo ip
Il comando indirizzo ip assegna un indirizzo IP a un’interfaccia VLAN staticamente o rendendolo un client DHCP. Con le versioni moderne del software Security appliance, non è necessario configurare esplicitamente le maschere di sottorete predefinite. Se si utilizzano maschere non standard, è necessario configurare esplicitamente la maschera, altrimenti non è necessario. interfaccia vlan 1 indirizzo ip 192.168.1.1
Nella seguente configurazione di esempio, un indirizzo IP viene assegnato a VLAN 1, l’interfaccia interna.
ciscoasa (config-if)#
ciscoasa (config-if)#
switchport access
Il comando switchport access sull’appliance di sicurezza ASA 5505 assegna un’interfaccia fisica a un’interfaccia logica (VLAN). Nell’esempio successivo, il comando interface viene utilizzato per identificare le interfacce fisiche, assegnarle a switchports sull’appliance e abilitarle (accenderle). Questo comando non viene utilizzato sulle appliance ASA 55×0. interfaccia ethernet 0/0 switchport access vlan 2 no shutdown interfaccia ethernet 0/1 switchport access vlan 1 no shutdown
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
oggetto rete obj_any
L’oggetto di rete obj_any istruzione crea un oggetto chiamato “obj_any”. (Non devi nominare l’oggetto “obj_any”; questo è un nome descrittivo, ma potresti facilmente chiamarlo “Juan”.) L’opzione di rete afferma che questo particolare oggetto sarà basato su indirizzi IP. Il comando subnet 0.0.0.0 0.0.0.0 afferma che obj_any influenzerà qualsiasi indirizzo IP non configurato su nessun altro oggetto.oggetto rete obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-oggetto)#
nat
nat istruzione, come mostrato di seguito, dice il firewall per consentire tutto il traffico che scorre dall’interno verso l’esterno interfaccia per l’uso di qualunque indirizzo dinamico (DHCP) configurato sull’interfaccia esterna.nat(inside,outside) dynamic interface
ciscoasa (config)#
route
Il comando route, nella sua forma più semplice, assegna una route predefinita per il traffico, in genere al router di un ISP. Può anche essere utilizzato in combinazione con access-list per inviare specifici tipi di traffico a host specifici su specifiche sottoreti. outside identifica l’interfaccia attraverso la quale fluirà il traffico per raggiungere il percorso predefinito. route outside 0 0 12.3.4.6
In questa configurazione di esempio, il comando route viene utilizzato per configurare una route predefinita al router dell’ISP su 12.3.4.6. I due zeri prima dell’indirizzo del router dell’ISP sono abbreviati per un indirizzo IP di 0.0.0.0 e una maschera di 0.0.0.0. La dichiarazione
ciscoasa(config-if)#
I comandi di cui sopra creano un firewall molto di base, tuttavia, utilizzando un dispositivo sofisticato come un Cisco PIX o ASA security appliance per eseguire tali funzioni firewall di base è eccessivo. hostname per identificare il firewall, telnet o SSH per consentire l’amministrazione remota, i comandi DHCPD per consentire al firewall di assegnare indirizzi IP agli host interni e i comandi statici route e access-list per consentire agli host interni come i server Web DMZ o i server di posta DMZ di essere accessibili agli host Internet.
Altri comandi da usare includono
Ecco una configurazione di base di esempio:
Configurazione di base di esempio
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Livello di sicurezza per “inside” impostato su 100 per impostazione predefinita.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Livello di sicurezza per “outside” impostato su 0 per impostazione predefinita.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.1.1
ciscoasa(config-if)# route fuori 0 0 12.3.4.6
ciscoasa(config-if)#oggetto di rete obj_any
ciscoasa(config-network-oggetto)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (all’interno,al di fuori) interfaccia dinamica
ciscoasa(config)#exit
Tratto dal Accidentale Amministratore: Cisco ASA Security Appliance: A Step-by-Step Guida per la Configurazione da Don R. Crawley
Usato con il permesso.
Informazioni sull’autore
L’amministratore accidentale: Cisco ASA Security Appliance: una guida alla configurazione passo-passo e Presidente di soundtraining.net una società di formazione IT con sede a Seattle, Washington. Lui è un veterano IT guy con oltre 35 anni di esperienza nella tecnologia per il posto di lavoro. Ha conseguito numerose certificazioni sui prodotti Microsoft, Cisco e Linux. Don può essere raggiunto a (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley autore della serie Accidental Administrator di libri per i professionisti IT tra cui