Asa 5505 e prima configurazione da parte di un NEOFITA

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
actech78
n00b
Messaggi: 13
Iscritto il: mer 21 nov , 2012 5:36 pm

Ciao a tutti!
Dire che sono un neofita forse non rende bene l'idea, mai avuto a che fare con le reti se non nel nostro modesto ufficio... mi spiego in breve:

Abbiamo un server su cui girano dei database, ad esso si connettono 5 pc e un controllo di produzione che gira su n. 6 terminali DAT connessi tramite un convertitore LAN sempre al server (a cui invia i dati al database). Dunque 5 pc, 1 server e 1 "PC" (anche se non lo è) che sarebbe la linea di produzione. Fin qui nessun problema in quanto la configurazione è la medesima:

INTERNET --> LAN SWITCH --> SERVER+vari PC, stampanti di rete ecc..

La più semplice delle configurazioni dove l'unica rete presente è la 192.168.1.0

Ora nasce il problema, abbiamo deciso di isolare il server dalla rete Internet per maggiore sicurezza rendendo sempre disponibile l'accesso ad esso dai dispositivi della Lan. Inoltre vorremmo (se si riesce!) proteggere in parte anche i dispositivi che si connettono a Internet. Dunque ci siamo attrezzati con un Cisco Asa 5505. Sto provando a configurarlo dopo aver letto diverse discussioni su Internet e guide pratiche ma pur utilizzando la modalità grafica ASDM non vado molto lontano. La versione ASA è 8.4.2 mentre la versione ASDM è la 7.01, per il momento ho eseguito il Wizard iniziale procedendo in questo modo:

Vodafone Station [ip 192.168.1.1] --> ASA eth 0/0 [ip 192.168.1.9]
ASA eth 0/1 [ip 10.10.10.1] --> SERVER [ip 10.10.10.5]
ASA eth 0/2-0/7 in DMZ [ip 10.10.11.1] --> LAN SWITCH [ip 10.10.11.5-36]

DHCP spento su tutte le reti. Accesso ad ASA da 10.10.10.1.

Terminata la configurazione wizard non ha generato errori. Ma da qui in poi non so più muovermi. Al momento la connessione ad internet è inaccessibile da tutti i terminali (dovrei far si che si possa accedere solo dai terminali connessi alla rete 10.10.11.0. Mentre il ping non funziona su nulla. Direte... ovvio! Lo so sono un ignorantone in materia spero di aver almeno capito il principio base di funzionamento, se i parametri sopra esposti sono corretti :cry:

Abbiate pazienza, qualcuno può aiutarmi (almeno per adesso) ad abilitare la connessione tra le reti (il server deve comunicare con i pc) e ad abilitare tcp/http sui pc connessi allo switch ? Poi più avanti vedrò come fare per impostare determinate sicurezze sui pc... (limitare spam, intrusioni ecc..)

Spero di non aver scritto castronerie... grazie 1000!
Ciao
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Che tipo di licenza ha a bordo l'ASA, di default può avere solo tre vlan, ma di fatto di utilizzabili solo due, di conseguenza non puoi avere tre reti (una x i client, una per i server e una per internet).
CCNA Security,CCDP, CCNP R&S
actech78
n00b
Messaggi: 13
Iscritto il: mer 21 nov , 2012 5:36 pm

scolpi ha scritto:Che tipo di licenza ha a bordo l'ASA, di default può avere solo tre vlan, ma di fatto di utilizzabili solo due, di conseguenza non puoi avere tre reti (una x i client, una per i server e una per internet).
Ciao!
Ho la licenza base, da qualche giorno ho sbattuto la testa su tutte le mura dell'ufficio per capirci qualcosa, alla fine sono riuscito! Ho impostato solo 2 lan (inside e outside), ho dato accesso a Internet a un determinato range di ip (pc e apparecchiature come stampanti che utilizzano il servizio smtp per le email) ed ho inibito di conseguenza l'accesso a internet al server per maggiore sicurezza. Dopo diversi tentativi e guide scaricate da internet si può dire che il 90% del lavoro è fatto e la "filosofia" del sistema inizio a capirla.

I miei precedenti problemi li ho risolti consentendo l'accesso a tutti gli host sulla medesima interfaccia (per questo non andava il ping) mentre per internet mancava il dns corretto nelle impostazioni di rete dei singoli pc (ovvero l'ip della Vodafone Station). Non so se questi due sono i metodi corretti ma funziona.

Ora devo impostare una Vlan per poter accedere da remoto al server utilizzando un software client, avete suggerimenti in merito ? dove posso trovare un software free ? L'impostazione guidata per creare una Vpn quale deve essere ? mi pare di averne viste di tre tipi...

Grazie ciao!!
Rispondi