ASA 5510 2 porte stessa Network

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Ciao Scolpi;
Vorrei capire bene quello che hai scritto. Significa che non posso creare una DMZ?
Chiariscimi le idee gentilemnte così posso organizzarmi al meglio per configurare il firewall.
grazie
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Un asa in transparent mode si comporta in modo trasparente rispetto al "livello 3", cioè usa solo due interfacce, una inside e l'altra outside ed ha un solo ip di management e di default fa solo passare l'arp. Quindi un asa 5510 che ha 4 interfacce, in realtà due non le utilizzi.

Quindi a te servirebbero due asa da collegare uno dal router ad uno dei due hp e l'altro dal router al secondi hp.

In realtà con gli asa, escluso il 5505, è possibile usare i firewall virtuali, che cisco chiama contesti.

Col 5510 la licenza base non permette la creazione di contesti, per tale fine serve la Security Plus, che permette di avere 5 contesti. In realtà i contesti utilizzabili sono 4 perchè uno è usato per il management.

Utilizzando tre contesti (uno è il management) puoi usare, al posto di due asa fisici due contesti ad ognuno dei quali assegni due delle 4 interfacce ed il gioco è fatto.

Da notare che sia il fatto di usare contesti multipli, che l'usare l'asa in transparent pone dei limiti. Io conosco quelli con la 8.2, probabilmente con nuove release alcuni sono superati.

Esempi: I servizi IPSEC e VPN SSL non si possono usare, I protocolli di routing dinamici non sono supportati, il multicast non è supportato come il theat detection, anche il dynamic dns, dhcp relay e qos non si possono usare. Ripeto questi sono limiti con la 8.2, con la release che monta il tuo bisogna vedere.

Ciao
CCNA Security,CCDP, CCNP R&S
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Io monto la versione 8.4(3)9 e ASDM 7.1(2).
Sono risucito, in modalità transparent a attivare tutte le interfacce (inside 100, outside 0, dmz 50, dmz1 50).
Ho connesso inside, dmz e dmz1 solo che l'unico problema è che non riesco a pingare da inside a dmz (o dmz1). Network unreachable. Secondo quanto leggo dalle regole cisco, da un security-level più alto è possibile accedere ad un security level più basso.
Ho notato una cosa strana. dato che le interfacce devono appartenere ad un bridge (in questo caso bvi1), non capisco perchè, subito dopo configurato la management port (con Ip per conenttersi via adsm) poi il bridge non me lo fa fare con la stessa network.
vi estraggo il codice che potete vedere sotto.
Il problema è che se non configuro la management non posso accedere all'asdm e quindi non posso usare il wizard per un aiutino nella configurazione. Io la bridge volevo farla 192.168.1.251 ma il software mi dice che non si può e sonos tato costretto a farla nella network 2.0.
C'è qualcuno che può darmi qualche suggerimento su come fare? Grazie

Codice: Seleziona tutto

: Saved
:
ASA Version 8.4(3)9
!
firewall transparent
hostname ciscoasa
domain-name ciscoasa.com
enable password xxxxxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxxxxxx encrypted
names
!
interface Ethernet0/0
 nameif outside
 bridge-group 1
 security-level 0
!
interface Ethernet0/1
 nameif inside
 bridge-group 1
 security-level 100
!
interface Ethernet0/2
 nameif dmz
 bridge-group 1
 security-level 50
!
interface Ethernet0/3
 nameif dmz1
 bridge-group 1
 security-level 50
!
interface Management0/0
 nameif management
 security-level 0
 ip address 192.168.1.250 255.255.255.0
 management-only
!
interface BVI1
 ip address 192.168.2.250 255.255.255.0
Ultima modifica di Hawkeye il mer 01 mag , 2013 9:16 am, modificato 1 volta in totale.
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Secondo quanto leggo dalle regole cisco, da un security-level più alto è possibile accedere ad un security level più basso.
E' vero, però un asa applica lo statefull inspection, cioè se il protocollo in oggetto è tcp e quindi è soggetto al tree-way-handshake e a tutte le varie regole di tcp, l'asa reagisce dinamicamente aprendo la comunicazione di ritorno (da un' interfaccia con livello di sicurezza + basso ad una con livello di sicurezza +alto), così non è per udp e per icmp (ping), quindi è normale che tu non riesca apingare, ma non perchè il pacchetto echo non arrivi a destinazione, ma perchè l'echo replay è droppato dall'asa. Prova a mettere un'acl in ingresso alle dmz che permettano il ping.

Per un esempio di config vedi qui:
https://supportforums.cisco.com/docs/DOC-21116

qua c'è la configuration guide http://www.cisco.com/en/US/docs/securit ... arent.html e vedo che è cambiato parecchio dalla 8.2 che io conosco
CCNA Security,CCDP, CCNP R&S
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

grazie Scolpi.
Per quanto riguarda icmp ho inserito la regola opportuna.
Per la configurazione ho risolto in questa maniera.

Codice: Seleziona tutto

interface Ethernet0/0
 nameif outside
 bridge-group 1
 security-level 0
!
interface Ethernet0/1
 nameif inside
 bridge-group 1
 security-level 100
!
interface Ethernet0/2
 nameif dmz
 bridge-group 1
 security-level 50
!
interface Ethernet0/3
 nameif dmz1
 bridge-group 1
 security-level 50
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
interface BVI1
 ip address 192.168.1.250 255.255.255.0
!
http server enable
http 192.168.1.0 255.255.255.0 inside
Ora dove trovo delle best practice su come eseguire una configurazione standard di un firewall cisco? In pratica vorrei trovare qualcosa che mi dice cosa abilitare e quali sono i protocolli da mettere in inspect e le acl da usare per una configurazione standard.
Rispondi