asa 5510-bun-k9 trasparent firewall

[xanio]

Salve,
dopo una lunga ricerca su internet e forum, mi sono trovato costretto a richiedere aiuto / consulto alla vostra esperienza per risolvere questo problema (almeno per me) sulla configurazione in trasparent mode di un asa 5510.

La mia soluzione attuale è la seguente

ROUTER -> SERVERS ( ogni server ha un fw on-board)

La mia idea è la seguente configurare l'asa in trasparent fw per creare una rete cosi formata

ROUTER -> ASA (transparent mode) -> SERVERS

la mia necessita principale è quella di non modificare ip e gw su ogni server, e impostare sull'outside dell'ASA gli ip dei vari server (almeno così facevo con un fw 3com).

Tutte le configurazione che ho fatto (e che ho visto su internet) riportano configurazioni in modalità nat che non è la mia necessita.

Sapete indicarmi una configurazione base da cui partire? non riesco a trovare spunto da nessuna parte.

Grazie.

[Wizard]

Singolo contesto transparent o + contesti sul firewall?

[xanio]

con singolo contesto intendi con un singolo server (ip) da filtrare?
Se è si allora la mia configurazione finale deve prevedere + ip e quindi + server, ma per iniziare va bene anche semplicemente un solo ip.

ho effettuato le seguenti impostazione da premettere che il pc dietro fw con apache attivo è quello con ip 192.168.10.211 e il mio pc davanti firewall per i test è il 192.168.10.104


configurazione


firewall transparent
interface e0/0
nameif inside
security-level 100
no shut
interface e0/1
nameif outside
security-level 100
no shut
same-security-traffic permit inter-interface
access-list outside-in extended permit icmp host 192.168.10.104 host 192.168.10.211
access-list outside-in extended permit tcp host 192.168.10.104 host 192.168.10.211 eq www
access-list inside-in extended permit icmp host 192.168.10.211 host 192.168.10.104
access-list inside-in extended permit tcp host 192.168.10.211 eq www host 192.168.10.104
access-group inside-in in interface inside
access-group outside-in in in terface outside
ip address 192.168.10.222 255.255.255.0
route inside 0.0.0.0 0.0.0.0 192.168.10.1

[Wizard]

No, singolo contesto significa una sola "partizione" firewall al interno del ASA (mi sa che sia così nella tua situazione).

Cosa ti manca nella config?

[xanio]

praticamente non mi funziona, dall'asa riesco a pingare il mio gw 192.168.10.1, ma niente +, no riesco a fare niente altro tipo fare un ping tra 192.168.10.104 e 192.168.10.211 e viceversa, tanto meno visitare il www.

Non capisco cosa ci sia di errato, presumo per la mia inesperienza sbaglio o dimentico qualcosa!


Ciao.

[Wizard]

Codice: Seleziona tutto

no access-list inside-in extended permit tcp host 192.168.10.211 eq www host 192.168.10.104 
access-list inside-in extended permit tcp host 192.168.10.211 host 192.168.10.104 eq 80

[xanio]

ciao,
allora ti aggiorno che ho resettato la configurazione del firewall e poi reinserito la mia configurazione e tutto a preso a funzionare...adesso sto implementando un sistema di objcgroup per gestire diversi protocolli per diversi ip presenti nella mia sottorete (inside).


Il mio scopo e quello di creare un gruppo di object da associare tramire acl all'ip di un particolare host dietro inside.

Spriamo bene...appena finisco di provare e testare la mia configurazione la posta in aniera completa

[xanio]

Questi sono i settaggi che al momento mi permettono di effettuare trasparent firewall in maniera ottimale, dall'esterno risultano aperti sono i servizi che mi interessano ed il server riesce a navigare senza problemi e fornisce i servizi in maniera ottimale.

Codice: Seleziona tutto

firewall transparent
interface e0/0
nameif outside
security-level 100
no shut
interface e0/1
nameif inside
security-level 100
no shut
same-security-traffic permit inter-interface
object-group service SERVER
port-object eq www
port-object eq 3389
access-list outside-in extended permit icmp any host 192.168.10.211
access-list outside-in extended permit tcp any host 192.168.10.211 object-group SERVER
access-list inside-in extended permit icmp host 192.168.10.211 any
access-list inside-in extended permit ip host 192.168.10.211 any
access-group inside-in in interface inside
access-group outside-in in interface outside
ip address 192.168.10.222 255.255.255.0
route inside 0.0.0.0 0.0.0.0 192.168.10.1

In allegato metto anche la scansione effettuato con nmap.:

Codice: Seleziona tutto

nmap -sS -P0 192.168.10.211

Starting Nmap 4.53 ( http://insecure.org ) at 2008-07-04 18:42 CEST
Interesting ports on 192.168.10.211:
Not shown: 1711 filtered ports
PORT     STATE  SERVICE
80/tcp   open   http
3389/tcp open   ms-term-serv
MAC Address: 00:0F:B0:57:D6:E4 (Compal Electronics)

Nmap done: 1 IP address (1 host up) scanned in 26.118 seconds

Ragazzi che consigli mi date in merito, è una configurazione molto spartana, ma sono alle prime armi e sono pronto ad accettare critiche costruttive.

[/code]

[Wizard]

La parte IDS la riesci a implementare sul contesto transparent su ASA?
Prova a digitare:

conf t
ip audit ?

[xanio]

E si riesco ad attivare audit..

Codice: Seleziona tutto

fw1(config)# ip audit ?

configure mode commands/options:
  attack     Specify the default actions to be taken for attack signatures or
             disable all actions
  info       Specify the default actions to be taken for informational
             signatures or disable all actions
  interface  Apply an audit specification or policy (via the IP audit name
             command) to an interface
  name       Specify informational signatures, except those disabled or
             excluded by the IP audit signature command, as part of the policy
  signature  Specify which messages to display, attach a global policy to a
             signature, and disable or exclude a signature from auditing

quindi consigli in merito...sono tutto occhi...

[xanio]

Cmq per curiosità, come posso fare ad usare asdm con la configurazione in transparent? Mi spiego meglio, da quanto ho capito quando assegno un ip al firewall questo viene usato solo ed esclusivamente per uso management.

L'ip assegnato riesco a pingarlo dall'interface inside, ma non riesco ad avviare nessuno asdm, come mai?

questa è la mia configurazione di prova:

Codice: Seleziona tutto

sh running-config 
: Saved
:
ASA Version 8.0(3) 
!
firewall transparent
hostname fw1
enable password oP92B.XMGqclt9.I encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 100
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit inter-interface
object-group service Portatile tcp
 port-object eq 3389
 port-object eq www
 port-object eq domain
access-list outside-in extended permit tcp any host 192.168.10.211 object-group Portatile 
access-list outside-in extended permit icmp any host 192.168.10.211 
access-list inside-in extended permit icmp host 192.168.10.211 any 
access-list inside-in extended permit ip host 192.168.10.211 any 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address 192.168.10.222 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group outside-in in interface outside
access-group inside-in in interface inside
route inside 0.0.0.0 0.0.0.0 192.168.10.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:462a43f50a3a5aeed2dc755af16aeb81
: end

[Wizard]

Codice: Seleziona tutto

http server enable
http IP o subnet inside

[xanio]

mi flaggello da solo...porca miseriaccia ero convinto che l'avevo attivato...cmq adesso ho impostato un ip sull'interfaccia "management", con un'altra subnet e da li faccio un managemente con un'altra macchina.

Cmq per quanto riguarda altri consigli sulla mia configurazione, cosa mi consigliate? Sto vedendo un po come impostare l'audit.

Ciao

[Wizard]

X adesso fai così:

Codice: Seleziona tutto

icmp permit any echo-reply outside
icmp permit any echo outside

ip verify reverse-path interface outside
ip verify reverse-path interface inside

ip audit name IDS attack action alarm drop reset
ip audit name IDS-Info info action alarm drop reset
ip audit interface outside IDS-Info
ip audit interface outside IDS
ip audit signature 2000 disable
ip audit signature 2001 disable
ip audit signature 2004 disable

[xanio]

ho impostato le audit ed ho notato un rallentamente nei tempi di risposta del ping, è normale?

Delle regole che mi hai dato queste non vengono accettate:

Codice: Seleziona tutto

ip verify reverse-path interface outside
ip verify reverse-path interface inside

adesso le testo e vediamo cosa mi dicono i log

ciao