Pagina 1 di 2
asa 5510-bun-k9 trasparent firewall
Inviato: ven 04 lug , 2008 11:34 am
da xanio
Salve,
dopo una lunga ricerca su internet e forum, mi sono trovato costretto a richiedere aiuto / consulto alla vostra esperienza per risolvere questo problema (almeno per me) sulla configurazione in trasparent mode di un asa 5510.
La mia soluzione attuale è la seguente
ROUTER -> SERVERS ( ogni server ha un fw on-board)
La mia idea è la seguente configurare l'asa in trasparent fw per creare una rete cosi formata
ROUTER -> ASA (transparent mode) -> SERVERS
la mia necessita principale è quella di non modificare ip e gw su ogni server, e impostare sull'outside dell'ASA gli ip dei vari server (almeno così facevo con un fw 3com).
Tutte le configurazione che ho fatto (e che ho visto su internet) riportano configurazioni in modalità nat che non è la mia necessita.
Sapete indicarmi una configurazione base da cui partire? non riesco a trovare spunto da nessuna parte.
Grazie.
Inviato: ven 04 lug , 2008 3:01 pm
da Wizard
Singolo contesto transparent o + contesti sul firewall?
Inviato: ven 04 lug , 2008 3:45 pm
da xanio
con singolo contesto intendi con un singolo server (ip) da filtrare?
Se è si allora la mia configurazione finale deve prevedere + ip e quindi + server, ma per iniziare va bene anche semplicemente un solo ip.
ho effettuato le seguenti impostazione da premettere che il pc dietro fw con apache attivo è quello con ip 192.168.10.211 e il mio pc davanti firewall per i test è il 192.168.10.104
configurazione
firewall transparent
interface e0/0
nameif inside
security-level 100
no shut
interface e0/1
nameif outside
security-level 100
no shut
same-security-traffic permit inter-interface
access-list outside-in extended permit icmp host 192.168.10.104 host 192.168.10.211
access-list outside-in extended permit tcp host 192.168.10.104 host 192.168.10.211 eq www
access-list inside-in extended permit icmp host 192.168.10.211 host 192.168.10.104
access-list inside-in extended permit tcp host 192.168.10.211 eq www host 192.168.10.104
access-group inside-in in interface inside
access-group outside-in in in terface outside
ip address 192.168.10.222 255.255.255.0
route inside 0.0.0.0 0.0.0.0 192.168.10.1
Inviato: ven 04 lug , 2008 4:10 pm
da Wizard
No, singolo contesto significa una sola "partizione" firewall al interno del ASA (mi sa che sia così nella tua situazione).
Cosa ti manca nella config?
Inviato: ven 04 lug , 2008 4:31 pm
da xanio
praticamente non mi funziona, dall'asa riesco a pingare il mio gw 192.168.10.1, ma niente +, no riesco a fare niente altro tipo fare un ping tra 192.168.10.104 e 192.168.10.211 e viceversa, tanto meno visitare il www.
Non capisco cosa ci sia di errato, presumo per la mia inesperienza sbaglio o dimentico qualcosa!
Ciao.
Inviato: ven 04 lug , 2008 4:45 pm
da Wizard
Codice: Seleziona tutto
no access-list inside-in extended permit tcp host 192.168.10.211 eq www host 192.168.10.104
access-list inside-in extended permit tcp host 192.168.10.211 host 192.168.10.104 eq 80
Inviato: ven 04 lug , 2008 5:30 pm
da xanio
ciao,
allora ti aggiorno che ho resettato la configurazione del firewall e poi reinserito la mia configurazione e tutto a preso a funzionare...adesso sto implementando un sistema di objcgroup per gestire diversi protocolli per diversi ip presenti nella mia sottorete (inside).
Il mio scopo e quello di creare un gruppo di object da associare tramire acl all'ip di un particolare host dietro inside.
Spriamo bene...appena finisco di provare e testare la mia configurazione la posta in aniera completa
Inviato: ven 04 lug , 2008 5:58 pm
da xanio
Questi sono i settaggi che al momento mi permettono di effettuare trasparent firewall in maniera ottimale, dall'esterno risultano aperti sono i servizi che mi interessano ed il server riesce a navigare senza problemi e fornisce i servizi in maniera ottimale.
Codice: Seleziona tutto
firewall transparent
interface e0/0
nameif outside
security-level 100
no shut
interface e0/1
nameif inside
security-level 100
no shut
same-security-traffic permit inter-interface
object-group service SERVER
port-object eq www
port-object eq 3389
access-list outside-in extended permit icmp any host 192.168.10.211
access-list outside-in extended permit tcp any host 192.168.10.211 object-group SERVER
access-list inside-in extended permit icmp host 192.168.10.211 any
access-list inside-in extended permit ip host 192.168.10.211 any
access-group inside-in in interface inside
access-group outside-in in interface outside
ip address 192.168.10.222 255.255.255.0
route inside 0.0.0.0 0.0.0.0 192.168.10.1
In allegato metto anche la scansione effettuato con nmap.:
Codice: Seleziona tutto
nmap -sS -P0 192.168.10.211
Starting Nmap 4.53 ( http://insecure.org ) at 2008-07-04 18:42 CEST
Interesting ports on 192.168.10.211:
Not shown: 1711 filtered ports
PORT STATE SERVICE
80/tcp open http
3389/tcp open ms-term-serv
MAC Address: 00:0F:B0:57:D6:E4 (Compal Electronics)
Nmap done: 1 IP address (1 host up) scanned in 26.118 seconds
Ragazzi che consigli mi date in merito, è una configurazione molto spartana, ma sono alle prime armi
e sono pronto ad accettare critiche costruttive.
[/code]
Inviato: ven 04 lug , 2008 7:58 pm
da Wizard
La parte IDS la riesci a implementare sul contesto transparent su ASA?
Prova a digitare:
conf t
ip audit ?
Inviato: lun 07 lug , 2008 5:24 pm
da xanio
E si riesco ad attivare audit..
Codice: Seleziona tutto
fw1(config)# ip audit ?
configure mode commands/options:
attack Specify the default actions to be taken for attack signatures or
disable all actions
info Specify the default actions to be taken for informational
signatures or disable all actions
interface Apply an audit specification or policy (via the IP audit name
command) to an interface
name Specify informational signatures, except those disabled or
excluded by the IP audit signature command, as part of the policy
signature Specify which messages to display, attach a global policy to a
signature, and disable or exclude a signature from auditing
quindi consigli in merito...sono tutto occhi...
Inviato: lun 07 lug , 2008 6:02 pm
da xanio
Cmq per curiosità, come posso fare ad usare asdm con la configurazione in transparent? Mi spiego meglio, da quanto ho capito quando assegno un ip al firewall questo viene usato solo ed esclusivamente per uso management.
L'ip assegnato riesco a pingarlo dall'interface inside, ma non riesco ad avviare nessuno asdm, come mai?
questa è la mia configurazione di prova:
Codice: Seleziona tutto
sh running-config
: Saved
:
ASA Version 8.0(3)
!
firewall transparent
hostname fw1
enable password oP92B.XMGqclt9.I encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 100
!
interface Ethernet0/1
nameif inside
security-level 100
!
interface Ethernet0/2
shutdown
no nameif
no security-level
!
interface Ethernet0/3
shutdown
no nameif
no security-level
!
interface Management0/0
shutdown
no nameif
no security-level
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit inter-interface
object-group service Portatile tcp
port-object eq 3389
port-object eq www
port-object eq domain
access-list outside-in extended permit tcp any host 192.168.10.211 object-group Portatile
access-list outside-in extended permit icmp any host 192.168.10.211
access-list inside-in extended permit icmp host 192.168.10.211 any
access-list inside-in extended permit ip host 192.168.10.211 any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address 192.168.10.222 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group outside-in in interface outside
access-group inside-in in interface inside
route inside 0.0.0.0 0.0.0.0 192.168.10.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:462a43f50a3a5aeed2dc755af16aeb81
: end
Inviato: lun 07 lug , 2008 9:28 pm
da Wizard
Inviato: mar 08 lug , 2008 10:01 am
da xanio
mi flaggello da solo...porca miseriaccia ero convinto che l'avevo attivato...cmq adesso ho impostato un ip sull'interfaccia "management", con un'altra subnet e da li faccio un managemente con un'altra macchina.
Cmq per quanto riguarda altri consigli sulla mia configurazione, cosa mi consigliate? Sto vedendo un po come impostare l'audit.
Ciao
Inviato: mar 08 lug , 2008 10:55 am
da Wizard
X adesso fai così:
Codice: Seleziona tutto
icmp permit any echo-reply outside
icmp permit any echo outside
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip audit name IDS attack action alarm drop reset
ip audit name IDS-Info info action alarm drop reset
ip audit interface outside IDS-Info
ip audit interface outside IDS
ip audit signature 2000 disable
ip audit signature 2001 disable
ip audit signature 2004 disable
Inviato: mar 08 lug , 2008 12:02 pm
da xanio
ho impostato le audit ed ho notato un rallentamente nei tempi di risposta del ping, è normale?
Delle regole che mi hai dato queste non vengono accettate:
Codice: Seleziona tutto
ip verify reverse-path interface outside
ip verify reverse-path interface inside
adesso le testo e vediamo cosa mi dicono i log
ciao