ASA 5510 2 porte stessa Network

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Salve a tutti;
La mia azienda ha comprato un Cisco ASA 5510 da mettere nella configurazione di rete che appare in figura.
La connessione lan che vedete è ereditata.
Nella parte dei server ci sono 2 switch hp procurve che, come potete vedere hanno una funzione di failover
La mia domanda è:
- posso configurare il firewall in modo da avere i 2 switch collegati (per una DMZ) a 2 porte diverse ma con la stessa network?

In alternativa mi date qualche consiglio? Non ho mai messo le mani sui cisco ASA e inizio ora a studiare la situazione.
Grazie
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Se non vuoi cambiare gli indirizzamenti dei server o del router puoi inserire il firewall configurandolo in transparent-mode, di fatto configuri 1 interfaccia come OUTSIDE per connettere l'ASA al router, 2 interfacce DMZ per connetterci i due switch SERVER e 1 interfaccia INSIDE per conettere la ta LAN aziendale (switch Netgear).
Di fatto in questo modo risci ad mantenere l'indirizzamento esistente e giosrtri come la sicurezza INBOUND o OUTBOUND.
Emiliano

P.S. non l'hai specificato ma credo che anche la tua LAN sia nella subnet 192.168.10/24, giusto?
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

grazie mille Emiliano.
Si anche la LAN è 192.168.1.0/24.
Avevo pensato anche di usare la redundancy. Cosa ne pensi in proposito?

! Physical interface and Ethernet parameters
interface GigabitEthernet0/0
description connessione1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1
description connessione2
no nameif
no security-level
no ip address
!

interface Redundant1
description Connessione
member-interface GigabitEthernet0/0
member-interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Puoi farlo tranquillamente, ovviamente dipende da quante interfacce hai nel firewall, se ti bastano per tutto, vai pure ;)
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Ciao Emiliano;
mi sa che andrò in trasparent mode. L'unica cosa che voleco chiedere è: siccome nel router ho delle vpn, mi basta solo mettere il firewall in trasparent oppure dovrei configurare le vpn sull'ASA?
Grazie
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Le vpn puoi lasciarle tranquillamente terminate sul router, nell'ASA dovrai solo configurare le opportune regole affinchè il traffico possa entrare ad esempio dall'interfaccia OUTSIDE verso quella INSIDE ;)
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Stò provando a configurare il 5510. Ho il firewall in transparent mode e ho confgurato la interfaccia inside e outside. Al momento di configurare le 2 interfacce dmz ho questo tipo di problema:
You cannot have more than 2 named non-management interfaces in your system

Quindi non mi fa nominare le interfacce.
Come faccio a configurarle? Vanno bene anche non nominate?

La versione asa è la 8.2(5) ASDM 7.1(2) licenza base.
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Controlla (in questo momento non ho modo di farlo) cosa include la licenza base, potrebbe essere proprio una limitazione della licenza.
Perchè vuoi creare 2 interfacce DMZ? Devi assegnargli livelli di sicurezza diversi? Se la risposta è no potresti anche crearne 1 (licenza permettendo) e configurare 2 interfacce fisiche appartenenti al "gruppo" DMZ.
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Emiliano, grazie per il tuo supporto.

Anche creando solo una interfaccia DMZ mi da lo stesso problema.
Se le faccio unnamed le accetta.
Come faccio a creare il gruppo dmz e assegnare le 2 interfacce?

Questi sono i dettagli della licenza:
Device license Base
Maximum Physical Interfaces Unlimited
Maximum VLANs 50
Inside Hosts Unlimited
VPN-DES Enabled
VPN-3DES-AES Enabled
Security Contexts 0
Security Contexts 0
GTP/GPRS Disabled
SSL VPN Peers 2
Shared License Disabled
AnyConnect for Mobile Disabled
AnyConnect for Mobile Disabled
AnyConnect for Cisco VPN Phone Disabled
AnyConnect Essentials Disabled
Advanced Endpoint Assessment Disabled
UC Phone Proxy Sessions 2
Botnet Traffic Filter Disabled
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Prova a postare la configurazione attuale...
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Ecco la conf attuale.
Mi scuso ma è il mio primo firewall che configuro e non ho ancora fatto la security...
Ho aggiornato la versione asa da 8.2 a 8.4 e sono riuscito a mettere una dmz ora ma per l'altra on so come fare...
Ho letto che per il transparent mode il firewall è al layer 2, tramite mac address. Come lo configuro? Hai qualche piccolo aiutino da darmi Emiliano? Grazie.

: Saved
:
ASA Version 8.4(2)
!
firewall transparent
hostname ciscoasa
domain-name ciscoasa.com
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
interface Ethernet0/2
nameif dmz
security-level 50
!
interface Ethernet0/3
shutdown
no nameif
no security-level
!
interface Management0/0
nameif management
security-level 0
ip address 192.168.1.250 255.255.255.0
management-only
!
interface BVI1
no ip address
!
boot system disk0:/asa842-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name ciscoasa.com
pager lines 24
mtu management 1500
mtu inside 1500
mtu dmz 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-712.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:903f255ca81e1ab25ec3a1c26cd5aa8e
: end
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Hai provato a configurare la fa0/3 ad esempio come DMZ2?
Il fatto che sia Layer2 significa che non instrada i pacchetti basandosi su un atabella di routing ma "grossolanamente" possiamo dire che inoltra su una tabella mac-address (come se fosse uno switch), questo ha appunto il vantaggio di poter lasciare integro l'indirizzamento della rete già esistente.
Ai fini pratici il firewall riconosce comunque se il traffico sta transitando da una zona con livello di sicurezza più alto ad una con livello più basso (di default lascia passare il traffico) oppure da una zona di livello basso ad una di livello lato (di default blocca tutto).
Ora con i vari security-level vai a stabilire cosa può passare da una zona con un livello basso ad una di livello più alto e lo fai con una "ACL Layer3".
In altre parole ad esempio se vuoi che dalla outside il traffico circoli verso la DMZ non farai altro che creare una ACL in cui indichi quale traffico è consentito nella direzione outside-->dmz e applichi la acl all'interfaccia outside (o all'interfaccia che ti serve) in inbound direction.
La differenza sostanziale con la modalita routed e che nel caso del trasparent-mode basta che applichi le opportune acl per consentire il traffico, nella modalità routed avendo classi diverse per ogni songola interfaccia probabilemente (a seconda che il nat tra interfacce fosse abilitato o meno) avresti anche dovuto dovuto creare opportune regole di nat.
Non so se ti ho chiarito le idee, in caso contrario chiedi pure, fino a dove sono in grado ti rispondo volentieri, poi passo la mano ;)
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Hawkeye
n00b
Messaggi: 10
Iscritto il: mar 06 mar , 2012 4:43 pm

Allora, ho impostato dmz e dmz2 con security-level 50.
in più le altre due porte sono outboud e inboud.
Ora a quanto ho capito mi basta solamente impostare le acl nelle posizioni giuste?
Dove potrei visionare degli esempi di configurazione di firewall?
grazie
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Hawkeye ha scritto: Dove potrei visionare degli esempi di configurazione di firewall?
grazie
Google ;)


oppure separliamo di access-list http://www.cisco.com/en/US/docs/securit ... rview.html questa guida differisce per la parte nat rispetto alla tua versione IOS (8.3 se non sbaglio) ma la parte delle ACl sostanzialmente è invariata.
Questa è la prima che ho trovato che può fare al caso tuo ma se ti metti a guardare in rete e soprattutto su http://www.cisco.com ne trovi di ogni.
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Non so se può essere utile, visto la data del post, però volevo ricordare che un asa in transparent usa solo due interfaccie, entrambe nella stasa vlan. Quindi dallo schema, essendoci due link dagli hp al router, servirebbero due asa o un'asa con due contesti (asa virtuali) utilizzando così altre due interfacce. Ricordo inolte che il 5510 ha 4 ethernet 10/100 che con la licenza security plus 2 di queste diventano 10/100/1000. Per poter usare i contesti è necessaria la licenza Security plus; ricapitolando con la licenza base 4 ethernet 10/100 e un solo contesto, con licenza plus massimo 5 contesti (in realtà 4 xkè uno quello di management) e 2 ethernet 10/100/1000 e 2 ethernet 10/100

Ciao
CCNA Security,CCDP, CCNP R&S
Rispondi