aqui está um post convidado enviado para mim por Don Crawley, autor da série de livros de administrador acidental. É um excerto de seu último: o administrador acidental: Cisco ASA Security Appliance: a Step-by-Step Configuration Guide
existem literalmente milhares de comandos e sub-comandos disponíveis para configurar um aparelho de segurança da Cisco. À medida que você ganha conhecimento do aparelho, você vai usar mais e mais dos comandos. Inicialmente, no entanto, existem apenas alguns comandos necessários para configurar a funcionalidade básica do aparelho. A funcionalidade básica é definida como permitindo que hosts de dentro acessem hosts de fora, mas não permitindo que hosts de fora acessem as hosts de dentro. Além disso, a gestão deve ser permitida a partir de pelo menos um hospedeiro interno. Para permitir a funcionalidade básica, Existem oito comandos básicos (estes comandos são baseados na versão de software 8.3 (1) ou maior):
- interface
- nameif
- nível de segurança
- endereço ip
- switchport access
- objeto de rede
- nat
- rota
interface
interface de comando identifica a interface de hardware ou o Switch Virtual Interface (interface VLAN) que será configurado. Uma vez no modo de configuração da interface, você pode atribuir interfaces físicas para switchports e habilitá-los (ativá-los), ou você pode atribuir nomes e níveis de segurança para interfaces VLAN.
nameif
O comando nameif dá à interface um nome e atribui um nível de segurança. Nomes típicos estão fora, dentro ou DMZ.
nível de segurança
níveis de segurança são valores numéricos, variando de 0 a 100, utilizados pelo aparelho para controlar o fluxo de tráfego. O tráfego é permitido fluir de interfaces com níveis de segurança mais elevados para interfaces com níveis de segurança mais baixos, mas não o contrário. As listas de acesso devem ser utilizadas para permitir que o tráfego passe de níveis de segurança mais baixos para níveis de segurança mais elevados. O nível de segurança padrão para uma interface externa é 0. Para uma interface interna, o nível de segurança padrão é de 100. Na seguinte configuração de exemplo, o comando interface é usado pela primeira vez para nomear as interfaces VLAN dentro e fora, em seguida, a interface DMZ é nomeado e um nível de segurança de 50 é atribuído a ele. interface vlan1 nameif inside interface vlan2 nameif outside interface vlan3 nameif dmz security-level 50
ciscoasa(config)#
ciscoasa (config-if)#
INFO: Security level for “inside” set to 100 by default.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: o nível de Segurança para “fora” definido como 0 por padrão.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
endereço ip
O endereço ip de comando atribui um endereço IP para uma interface VLAN estaticamente ou tornando-se um cliente DHCP. Com versões modernas de software de segurança, não é necessário configurar explicitamente as máscaras de sub-rede padrão. Se você estiver usando máscaras não-padrão, você deve configurar explicitamente a máscara, caso contrário, não é necessário. interface vlan 1 endereço ip 192.168.1.1
na seguinte configuração de exemplo, um endereço IP é atribuído a VLAN 1, A interface interna.
ciscoasa (config-if)#
ciscoasa(config-if))#
switchport access
the switchport access command on the ASA 5505 security appliance assigns a physical interface to a logical (VLAN) interface. No exemplo seguinte, o comando interface é usado para identificar interfaces físicas, atribuí-las a switchports no aparelho, e ativá-las (ativá-las). Este comando não é utilizado nos aparelhos ASA 55×0. interface ethernet 0/0 switchport access vlan 2 no encerramento da interface ethernet 0/1 switchport access vlan 1 sem desligamento
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
objeto de rede obj_any
O objeto de rede obj_any instrução cria um objeto chamado “obj_any”. (Você não tem que nomear o objeto “obj_any”; esse é um nome descritivo, mas você poderia facilmente chamá-lo de “Juan”.) A opção de rede afirma que este objeto específico será baseado em endereços IP. O comando subnet 0. 0. 0. 0. 0. 0. 0. 0 diz que o obj_any irá afectar qualquer endereço IP não configurado em nenhum outro objecto.objeto de rede obj_any de sub-rede 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-objeto)#
nat
nat instrução, como mostrado abaixo, diz o firewall para permitir o tráfego flui de dentro para fora da interface para usar qualquer endereço que é dinamicamente (DHCP) configurado na interface externa.nat(inside,outside) dynamic interface
ciscoasa (config)#
route
the route command, in its most basic form, assigns a default route for traffic, typically to an ISP’s router. Ele também pode ser usado em conjunto com listas de Acesso para enviar tipos específicos de tráfego para hosts específicos em sub-redes específicas. o exterior identifica a interface através da qual o tráfego irá fluir para alcançar a rota padrão. route outside 0 12.3.4.6
In this sample configuration, the route command is used to configure a default route to the ISP’s router at 12.3.4.6. Os dois zeros antes do endereço do router do ISP são abreviados para um endereço IP de 0.0.0.0 e uma máscara de 0.0.0.0.0. A instrução
ciscoasa(config-if)#
O comando acima cria um firewall básico, no entanto, usando um sofisticado dispositivo, como um Cisco PIX ou ASA appliance de segurança para executar básicas, tais funções de firewall é um exagero. hostname to identify the firewall, telnet or SSH to allow remote administration, DHCPD commands to allow the firewall to assign IP addresses to inside hosts, and static route and access-list commands to allow internal hosts such as DMZ Web servers or DMZ mail servers to be accessible to Internet hosts.
Outros comandos para usar include
Aqui está um exemplo de base de configuração:
Exemplo da Base de dados de Configuração
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif dentro de
INFO: o nível de Segurança para “dentro”, definido como 100 por padrão.
ciscoasa(config-if)# interface vlan2
ciscoasa (config-if)# nameif outside
INFO: nível de segurança para “outside” set to 0 by default.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.1.1
ciscoasa(config-if)# route fora 0 0 12.3.4.6
ciscoasa(config-if)#objeto de rede obj_any
ciscoasa(config-network-objeto)#sub-rede 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (dentro,do lado de fora) interface dinâmica
ciscoasa(config)#exit
Extraído Do Acidental Administrador: Cisco ASA dispositivo de Segurança: Um Passo-a-Passo Guia de Configuração por Don R. Crawley
Usado com permissão.
Sobre o autor
O administrador acidental: Cisco ASA Security Appliance: A Step-by-Step Configuration Guide and President of soundtraining.net uma empresa de formação em tecnologias de informação sediada em Seattle, em Washington. Ele é um veterano informático com mais de 35 anos de experiência em tecnologia para o local de trabalho. Ele possui várias certificações em produtos da Microsoft, Cisco e Linux. Don pode ser alcançado em (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley autor da série acidental de livros para administradores de TI, incluindo