مفاهیم و پیکربندی های اولیه فایروال های ASA - سری های 5505, 5510, 5520,... « آموزش و انجمن تخصصی شبکه

یکشنبه 4 مهر 1395 ساعت 08:49
 مفاهیم و پیکربندی های اولیه فایروال های ASA - سری های 5505, 5510, 5520,...

سری ابزارهای امنیتی سیسکو ASA 550...  0 مدت هاست که در بازار حضور دارند و البته جزو محبوب ترین دیواره های آتش سخت افزاری نیز محسوب می شوند. امروز نحوه پیکربندی فایروال سری ۵۵۰۰ سیسکو را مورد بررسی قرار می دهیم. خواهید دید که پیکربندی این ابزار برای انجام اعمال پایه ای تا چه اندازه ساده است. اعمالی که برای فراهم کردن یک دسترسی ساده و محدود شده به اینترنت، دسترسی و مدیریت امن فایروال ASA و بسیاری موارد دیگر کفایت می کند. هرچند تصور بسیاری بر این است که پیکربندی فایروال های ASA کار سختی است اما هدف ما این است که ثابت کنیم این مسئله درست نیست و نشان خواهیم داد که چقدر ساده می توانید ASA را برای تحویل سرویس های ساده و پیشرفته پیکربندی کنید.

جدولی که در ادامه می آید تفاوت بین مدل های مختلف ابزارهای امنیتی ASA5500 را نشان می دهد.

می توانید یک نسخه کامل از برگه اطلاعات این ابزار را از این لینک دانلود کنید.

یکی از نکات مهم به خصوص برای مهندسین تازه کاری که هنوز تجربه چندانی ندارند این است که بدانند پیکربندی فایروال کوچکی مانند ASA5505 با مدل بزرگی چون ASA5520 به واقع تفاوت چندانی ندارد. تقریبا برای پیکربندی تمامی فایروال های سری ASA5500 گام های یکسانی انجام می شود که خبر بسیار خوبی است.

اگر مجوزها  را – که امکان فعال یا غیرفعال کردن یک سری قابلیت ها را به ما می دهد- تفاوت اصلی بین اینترفیس های فیزیکی است که در هر کدام از مدل ها وجود دارد (به خصوص در مورد ASA5505 و مدل های بزرگتر ASA5520 و ASA5510)  و ماژول های احتمالی که در هر کدام از آنها نصب شده است. در هر صورت چیزی که باید در ذهن داشته باشیم این است که اگر بتوانیم یک فایروال کوچک ASA5505 را پیکربندی کنیم پیکربندی یک مدل بزرگتر سخت نخواهد بود.

در زمان نوشتن این مقاله یک فایروال ASA5505 در دسترس بود و به همین جهت برای آزمایش دستورها از آن استفاده کردیم. اما حتما به این نکته توجه داشته باشید که دستورات و فلسفه پیکربندی در تمامی ابزارهای امنیتی سری ASA5500 یکسان است.

نکته: نرم افزار ASA نسخه ۸٫۳٫۰  و نسخه های بالاتر از دستورات متفاوتی برای پیکربندی NAT استفاده می کنند. در این مقاله هم دستورات پیکربندی NAT مدل قدیمی تر (تا نسخه ۸٫۲٫۵ ) را مورد توجه قرار داده ایم و هم دستورات پیکربندی NAT نسخه های جدید (بعد از نسخه ۸٫۳)

چک لیست پیکربندی سری ASA5500

یک چک لیست پیکربندی ساده فراهم کرده ایم که به ما کمک می کند تا سرویس های پیکربندی شده روی ASA را در نظر داشته باشیم. در ادامه لیستی از مواردی که در ادامه به آنها خواهیم پرداخت ارائه شده است:

  • پاک کردن پیکربندی فعلی
  • پیکربندی نام میزبان، کلمه عبور Enable و غیرفعال کردن گزارش گیری ناشناس
  • پیکربندی آدرس های IP اینترفیس ها یا آدرس های IP مربوط به VLAN ها (ASA5505) و توضیحات
  • تنظیم اینترفیس های inside (خصوصی) و outside (عمومی)
  • تنظیم مسیر پیش فرض (default gateway) و مسیرهای استاتیک
  • پیکربندی ترجمه آدرس شبکه (NAT) برای شبکه های داخلی
  • پیکربندی سرور DHCP ASA
  • پیکربندی احراز هویت AAA برای احراز هویت کاربر از طریق پایگاه داده محلی (local database)
  • پیکربندی مدیریت از طریق http برای اینترفیس inside
  • فعال کردن مدیریت از طریق SSH و Telnet برای اینترفیس های  inside و outside
  • ایجاد، پیکربندی و اعمال TCP/UDP Object-Groups برای لیست های دسترسی فایروال
  • پیکربندی لیست های دسترسی برای اینترفیس های inside و outside
  • اعمال لیست های دسترسی برای اینترفیس های inside و outside
  • پیکربندی سابقه گیری/اشکال یابی برای رویدادها و خطاها
نکته: جهت مقابله با از دست دادن پیکربندی ASA اکیدا توصیه می کنیم مرتبا پیکربندی را ذخیره کنید تا درصورتی که برق ناگهانی قطع شد یا ابزار ریستارت شد کارهای انجام شده از بین نرود.

می توانید به راحتی با دستور write memory این کار را انجام دهید.

پاک کردن پیکربندی فعلی فایروال

اولین گام دلخواه است زیرا پیکربندی دیواره آتش را پاک می کند. اگر فایروال قبلا پیکربندی یا استفاده شده شروع کردن کار از تنظیماتی که به صورت پیش فرض در کارخانه انجام شده ایده خوبی است. اگر اطمینان خاطر نداریم بهترین کار این است که اطلاعات را پاک کرده و از ابتدا شروع کنیم. بعد از اینکه پیکربندی دستگاه پاک شد لازم است دستگاه را مجددا راه اندازی کنیم با این وجود دقت داشته باشید که نباید پیکربندی فعلی را ذخیره کنیم چون با این کار تنظیمات فعلی روی startup-config ذخیره می شود و در نتیجه همین فرایند را باید مجددا تکرار کنیم.

پیکربندی نام میزبان، کاربران، کلمه عبور enable و غیرفعال کردن گزارش گیری ناشناس

گام بعدی فعال کردن کلمه عبور enable است که امکان دسترسی به مد کاربری Priviledge را به کاربر می دهد و سپس کاربرانی را که به فایروال دسترسی دارند پیکربندی می کنیم. فایروال سیسکو در هنگام ورود نام کاربری از کاربر درخواست نمی کند اما کلمه عبور enable پیش فرض cisco است که برای دسترسی به حالت کاربری Priveledge ضروری است:

در این جا باید دقت داشته باشیم که زمانی که با تنظیمات پیش فرض کارخانه کارمان را شروع می کنیم به محض وارد کردن دستور configure terminal سیستم از شما سوال می کند که آیا می خواهید قابلیت گزارش به شرکت سیسکو (call-home reporting) را فعال کنید. این پیشنهاد را رد کرده و به تنظیمات ادامه می دهیم. پارامتر privilege 15 در انتهای دستور بالا برای اطمینان از این نکته است که به سیستم بفهمانیم این نام کاربری باید دسترسی کامل به تمامی دستورات پیکربندی شامل پاک کردن پیکربندی و فایل های روی دیسک flash مانند سیستم عامل است.

پیکربندی آدرس های IP اینترفیس ها/ آدرس های IP مربوط به VLAN ها و توضیحات

بسته به ابزار ASA که داریم می توانیم اینترفیس های فیزیکی (inside/outside) را پیکربندی کنیم –معمولا در مدل های ASA5510 و بالاتر یا VLAN هایی (inside/outside) ایجاد کنیم و برای آنها پیکربندی آدرس های IP را انجام دهیم که معمولا در مدل های کوچک تر مانند ASA5505 انجام می شود. با این وجود بسیاری از مهندسین شبکه در مدل های بزرگتر ASA5500 نیز از VLAN ها استفاده می کنند با این وجود این مسئله به قابلیت های مربوط به مجوزها، تنظیم شبکه فعلی و موارد دیگر دارد.

در صورتی که از مدل ASA5505 استفاده می کنیم باید از اینترفیس های VLAN استفاده کنیم که با آدرس های IP مناسب پیکربندی شده اند و سپس (درگام بعدی) به عنوان اینترفیس های inside (خصوصی) و outside (عمومی) پیکربندی می کنیم.

به همین ترتیب، اینترفیس عمومی (Public)، یا همان VLAN2 را می توان طوری پیکربندی کرد که آدرس خود را به صورت خودکار از سرویس دهنده DHCP دریافت کند:

پارامتر setroute که در انتهای دستور قرار داده شده تایید می کند که فایروال ASA مسیرپیش فرض خودش را با توجه به پارامتر ارسالی از سوی سرویس دهنده DHCP تنظیم می کند. بعد از اینکه VLAN1 و VLAN2 را با آدرس های مناسب پیکربندی کردیم، ethernet0/0 را به عنوان لینک دسترسی به VLAN2 پیکربندی می کنیم تا بتوانیم از آن به عنوان اینترفیس عمومی فیزیکی استفاده کنیم. حداقل یکی از ۸ اینترفیس اترنت که ASA5505 دارد حداقل باید یکی با دستور switchport access vlan 2 تنظیم شود در غیر این صورت هیچ گونه اینترفیس فیزیکی روی ASA نداریم تا به عنوان پیشانی (frontend) مورد استفاده قرار گرفته و مسیریاب به آن متصل شود. علاوه بر این پورت های eth0/1 تا eth0/7 باید با دستور no shutdown به حالت عملیاتی وارد شوند. به صورت پیش فرض تمامی این پورت ها لینک های دسترسی به VLAN1 پیکربندی شده اند با توجه به اینکه دستورهای پیکربندی برای تمامی پورت ها یکسان است فقط دستورات مربوط به دو پورت اول ذکر شده است.

تنظیم اینترفیس های inside (خصوصی)  و outside (عمومی)

در گام بعدی باید اینترفیس های inside (خصوصی) و public (عمومی)  را اختصاص دهیم. این گام حیاتی است و به ASA کمک می کند تا متوجه شود که کدام اینترفیس به بخش قابل اعتماد (trusted) شبکه ارتباط دارد و کدام اینترفیس به بخش غیرقابل اعتماد (عمومی) شبکه متصل است.