Instrukcje i przepisy Cisco Aip Ssm 10

Cisco AIP SSM 10 to wysoce wydajny, wielowarstwowy system bezpieczeństwa, który oferuje zaawansowane funkcje ochrony danych, sieci i systemów. Przepisy i instrukcje Cisco AIP SSM 10 zapewniają zintegrowaną ochronę przed wirusami, robakami, oprogramowaniem szpiegującym i innymi zagrożeniami. Przepisy Cisco AIP SSM 10 dostarczają również użytkownikom możliwość ochrony całego systemu za pomocą jednego urządzenia. Przepisy Cisco AIP SSM 10 pozwalają również użytkownikom na kontrolę i monitorowanie dostępu do systemu, wykrywanie i wyeliminowanie zagrożeń w czasie rzeczywistym oraz tworzenie i aktualizowanie zasad bezpieczeństwa. Cisco AIP SSM 10 zapewnia również wsparcie dla konfigurowalnych modeli bezpieczeństwa, które pomagają zarządzać bezpieczeństwem w całej sieci.

Ostatnia aktualizacja: Instrukcje i przepisy Cisco Aip Ssm 10

Streszczenie treści zawartej na stronie nr. 1

Managing the AIP SSM and CSC SSM
The Cisco ASA 5500 series adaptive security appliance supports a variety of SSMs. This chapter
describes how to configure the adaptive security appliance to support an AIP SSM or a CSC SSM,
including how to send traffic to these SSMs.
For information about the 4GE SSM for the ASA 5000 series adaptive security appliance, see Chapter 4,
“Configuring Ethernet Settings and Subinterfaces”.
Note The Cisco PIX 500 series security appliances does not suppo

Streszczenie treści zawartej na stronie nr. 2
Chapter 19 Managing the AIP SSM and CSC SSM Managing the AIP SSM The AIP SSM can operate in one of two modes, as follows: � Inline mode—Places the AIP SSM directly in the traffic flow. No traffic can continue through the adaptive security appliance without first passing through, and being inspected by, the AIP SSM. This mode is the most secure because every packet is analyzed before being allowed through. Also, the AIP SSM can implement a blocking policy on a packet-by-packet basis.
Streszczenie treści zawartej na stronie nr. 3
Chapter 19 Managing the AIP SSM and CSC SSM Managing the AIP SSM Step 2 Create a class map to identify the traffic that should be diverted to the AIP SSM. Use the class-map command to do so, as follows: hostname(config)# class-map class_map_name hostname(config-cmap)# where class_map_name is the name of the traffic class. When you enter the class-map command, the CLI enters class map configuration mode. Step 3 With the access list you created in Step 1, use a match access-list command
Streszczenie treści zawartej na stronie nr. 4
Chapter 19 Managing the AIP SSM and CSC SSM Managing the AIP SSM hostname(config-cmap)# match access-list IPS hostname(config-cmap)# policy-map my-ids-policy hostname(config-pmap)# class my-ips-class hostname(config-pmap-c)# ips promiscuous fail-close hostname(config-pmap-c)# service-policy my-ips-policy global Sessioning to the AIP SSM and Running Setup After you have completed configuration of the ASA 5500 series adaptive security appliance to divert traffic to the AIP SSM, session t
Streszczenie treści zawartej na stronie nr. 5
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM Note If you see the preceding license notice (which displays only in some versions of software), you can ignore the message until you need to upgrade the signature files on the AIP SSM. The AIP SSM continues to operate at the current signature level until a valid license key is installed. You can install the license key at a later time. The license key does not affect the current functionality of the AIP SSM. Step 3 Ent
Streszczenie treści zawartej na stronie nr. 6
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM Figure 19-1 Flow of Scanned Traffic with CSC SSM Security Appliance Main System modular service policy Request sent Request forwarded inside outside Reply forwarded Reply sent Server Diverted Traffic Client content security scan CSC SSM You use ASDM for system setup and monitoring of the CSC SSM. For advanced configuration of content security policies in the CSC SSM software, you access the web-based GUI for the CSC SSM b
Streszczenie treści zawartej na stronie nr. 7
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM Figure 19-2 CSC SSM Deployment with a Management Network Security Appliance Trend Micro inside Update Server 192. 168. 100. 1 Main System outside HTTP Internet 10. 6. 13. 67 Proxy management port 192. 50. 1 CSC SSM ASDM SSM 192. 38 management port Syslog Notifications SMTP Server CSC SSM cannot suport stateful failover, because the CSC SSM does not maintain connection information and therefore cannot provide the failove
Streszczenie treści zawartej na stronie nr. 8
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM Note The SSM management port IP address must be accessible by the hosts used to run ASDM. The IP addresses for the SSM management port and the adaptive security appliance management interface can be in different subnets. � DNS server IP address. � HTTP proxy server IP address (required only if your security policies require use of a proxy server for HTTP access to the Internet). � Domain name and hostname for the SSM. �
Streszczenie treści zawartej na stronie nr. 9
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM With a Plus License, the additional features enabled by default are SMTP anti-spam, SMTP content filtering, POP3 anti-spam, URL blocking, and URL filtering. To access the CSC SSM GUI, in ASDM choose Configuration > Trend Micro Content Security, and then select one of the following: Web, Mail, File Transfer, or Updates. The blue links on these panes, beginning with the word “Configure”, open the CSC SSM GUI. Determining
Streszczenie treści zawartej na stronie nr. 10
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM � Incoming SMTP connections destined to inside mail servers. In Figure 19-3, the adaptive security appliance should be configured to divert traffic to CSC SSM requests from clients on the inside network for HTTP, FTP, and POP3 connections to the outside network and incoming SMTP connections from outside hosts to the mail server on the DMZ network. HTTP requests from the inside network to the web server on the DMZ networ
Streszczenie treści zawartej na stronie nr. 11
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM This access list matches inbound SMTP connections from any external host to any host on the DMZ network. The policy applied to the outside interface would therefore ensure that incoming SMTP email would be diverted to the CSC SSM for scanning. It would not match SMTP connections from hosts on the inside network to the mail server on the DMZ network because those connections never use the outside interface. If the web s
Streszczenie treści zawartej na stronie nr. 12
Chapter 19 Managing the AIP SSM and CSC SSM Managing the CSC SSM hostname(config)# class-map class_map_name hostname(config-cmap)# where class_map_name is the name of the traffic class. Step 3 With the access list you created in Step 1, use a match access-list command to identify the traffic to be scanned: hostname(config-cmap)# match access-list acl-name Step 4 Create a policy map or modify an existing
Streszczenie treści zawartej na stronie nr. 13
Chapter 19 Managing the AIP SSM and CSC SSM Checking SSM Status Example 19-1 is based on the network shown in Figure 19-3. It creates two service policies. The first policy, csc_out_policy, is applied to the inside interface and uses the csc_out access list to ensure that all outbound requests for FTP and POP3 are scanned. The csc_out access list also ensures that HTTP connections from inside to networks on the outside interface are scanned but it includes a deny ACE to exclude HTTP
Streszczenie treści zawartej na stronie nr. 14
Chapter 19 Managing the AIP SSM and CSC SSM Transferring an Image onto an SSM hostname# show module 1 Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 JAB100301NE Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ -----
Streszczenie treści zawartej na stronie nr. 15
Chapter 19 Managing the AIP SSM and CSC SSM Transferring an Image onto an SSM To transfer an image onto an intelligent SSM, perform the following steps: Step 1 Create or modify a recovery configuration for the SSM. To do so, perform the following steps: a. Determine if there is a recovery configuration for the SSM. To do so, use the show module command with the recover keyword, as follows. hostname# show module slot recover where slot is the slot number occupied by the SSM. If the reco
Streszczenie treści zawartej na stronie nr. 16
Chapter 19 Managing the AIP SSM and CSC SSM Transferring an Image onto an SSM Step 3 Check the progress of the image transfer and SSM restart process. To do so, use the show module command. For details, see the “Checking SSM Status” section on page 19-13. When the adaptive security appliance completes the image transfer and restart of the SSM, the SSM is running the newly transferred image. Note If your SSM supports configuration backups and you want to restore the configuration of th

Strona g��wna -> Pomoc -> Konfiguracja urz�dze� -> Konfiguracja telefonu IP Cisco

Konfiguracja urz�dze�

  • Konfiguracja telefonu IP Cisco
  • Konfiguracja bramki Cisco SPA 112
  • Konfiguracja telefonu Nokia serii E
  • Konfiguracja bramki Linksys PAP2T?
  • Konfiguracja routera Linksys RT31P2 lub WRT54GP2
  • Konfiguracja routera Linksys RTP300, WRTP54G lub WRP400
  • Konfiguracja routera Linksys SPA2102 lub SPA3102?
  • Konfiguracja urz�dzenia Fritz Box Fon
  • Konfiguracja innego urz�dzenia voip
  • Konfiguracja telefonu IP Cisco

    Je�li kupi�e� telefon IP za naszym po�rednictwem, wystarczy, �e wyjmiesz urz�dzenie z pude�ka i pod��czysz do internetu. Adres IP powinien zosta� automatycznie pobrany z routera. Je�li telefon kupi�e� w innym sklepie, zapoznaj si� z poni�sz� instrukcj�.

    Adres IP telefonu

    Aby przyst�pi� do konfiguracji telefonu, musisz dowiedzie� si�, jaki adres IP zosta� przypisany urz�dzeniu przez router, gdy� ten adres b�dzie nale�a�o wpisa� w pasku przegl�darki internetowej, aby dosta� si� do panelu konfiguracyjnego urz�dzenia.

    Adres przypisany automatycznie

    Aby ustali�, jaki adres zosta� automatycznie przypisany przez router,
    zapoznaj si� z instrukcj� sprawdzania przypisanego adresu IP.

    Adres ustawiony statycznie

    Je�li Tw�j router nie obs�uguje funkcji DHCP, mo�esz ustawi� adres r�cznie.
    Zapoznaj si� z instrukcj� ustawienia statycznego adresu IP.

    Konfiguracja z us�ug� otoTelefon

    Je�eli nie pami�tasz nazwy konta sip lub has�a, sprawd� jak mo�na je przypomnie�.

  • Wpisz adres IP telefonu w pasku adresowym przegl�darki internetowej.
  • Kliknij w link "admin login" (w prawym g�rnym rogu).
  • Wybierz konkretn� lini� (np. EXT 1 dla linii 1) i skonfiguruj w nast�puj�cy spos�b:

  • NAT Keep Alive Enable: wybierz "yes".
  • Proxy: 213. 218. 117. 66
  • User ID: tu wpisz nazw� konta sip w us�udze otoTelefon.
  • Password: tu wpisz has�o konta sip w us�udze otoTelefon.
  • Potwierd� wprowadzenie danych przyciskiem "submit" (na dole).
  • Na zako�czenie przypisz przycisk na telefonie do skonfigurowanej linii. W tym celu:

  • Wybierz zak�adk� "Phone".
  • Dla danego "Line Key" ustaw numer skonfigurowanej linii.
  • W polu "Short Name" wpisz nazw�, kt�ra ma wy�wietli� si� na wy�wietlaczu.
  • Potwierd� wprowadzone ustawienia przyciskiem "submit" (na dole).
  • powr�t na g�r�

    CISCO ASA obok routerów i przełączników jest kolejnym urządzeniem sieciowym, którego głównym zadaniem jest ochrona naszej sieci przed intruzami i nieautoryzowanym dostępem. Ochrona ta polega na blokowaniu niedozwolonego ruchu sieciowego. Urządzenie ASA w kontrolowanej przez nas sieci pełni rolę firewalla. W artykule tym zajmiemy się podstawową konfiguracją urządzenia CISCO ASA oraz jego implementacją w sieci.

    Wiemy już, że głównym zadaniem urządzenia jest prowadzenie polityki bezpieczeństwa polegającej na filtrowaniu pakietów tak by sieć była zabezpieczona ale i by w sposób bezpieczny był zapewniony do niej dostęp. Ochrona naszej sieci jest realizowana z wykorzystaniem następujących mechanizmów:

    • Filtrowanie pakietów realizowane z wykorzystaniem listy dostępu ACL: CISCO ASA obsługuje zarówno standardowe, jak i rozszerzone listy dostępu. Różnica pomiędzy listami dostępu tymi konfigurowanymi na routerze a na ASA jest taka, że w przypadku definicji listy ACL na firewallu używamy maski rzeczywistej a nie wildcard mask.
    • Filtrowanie stanowe: przez urządzenie ASA cały ruch sieciowy traktowany jest jako całość co oznacza, że decyzja o przepuszczeniu bądź zablokowaniu danego pakietu jest podejmowana w oparciu o analizę pakietów tworzących połączenie. Mówiąc trochę inaczej, firewall „wie”, czy otrzymany pakiet jest częścią aktualnie realizowanego połączenia czy może jest całkowicie odrębnym i nieoczekiwanym pakietem. Dla użytkownika oznacza to, że pomimo domyślnie działającego blokowania przesyłania informacji z portu o niższej wartości security-level do portu bardziej zaufanego (wyższy poziom ustawienia security-level) w sytuacji w której ruch zostaje zainicjonowany z wewnątrz i oczekujemy danych zwrotnych to dane te nie zostaną przez firewall zablokowane.

    Prześledźmy przykład w którym host znajdujący się wewnątrz sieci wysyła pakiet do serwera WWW. Adres źródłowy hosta to 10. 0. 10, zaś port źródłowy TCP to 5555. Docelowym adresem serwera WWW jest adres IP 100. 120. 56. 14, połączenie oczywiście jest ustanawiane z domyślnym portem TCP 80. Firewall tak ustanowioną sesję zapamięta czego efektem będzie oczekiwanie na ruch zwrotny. Gdy odpowiedź od serwera WWW nadejdzie (adres IP 100. 14, port źródłowy 80) i będzie kierowana do hosta (adres IP 10. 10, port docelowy 5555) zostanie ona przepuszczona.

    • Wykorzystanie mechanizmu AAA: obsługiwane są usługi AAA – uwierzytelniania, autoryzacji i rozliczania. Mechanizm ten może być zaimplementowany lokalnie bądź wykorzystywać do działania serwer ACS (Access Control Server) lub RADIUS.
    • DHCP: firewall może pełnić funkcję serwera bądź klienta usługi DHCP – może dostarczać konfigurację sieciową hostom po stronie sieci LAN (pula adresów IP zależna od posiadanej licencji) a jednocześnie sam uzyskiwać odpowiednie adresy IP od naszego ISP.
    • NAT: obsługa NAT (NAT statyczny i dynamiczny) oraz PAT. Urządzenie posiada możliwość definicji wyjątku NAT określającego reguły co do ruchu sieciowego niepodlegającego translacji (wykorzystywane w przypadku użycia tuneli VPN).
    • Routing: ASA obsługuje takie protokoły routingu dynamicznego jak: RIP (ang. Routing Information Protocol), EIGRP (ang. Enhanced Interior Gateway Routing Protocol) oraz OSPF (Open Shortest Path First). Istnieje również możliwość definicji tras statycznych.
    • Grupy obiektów: których zadaniem jest uproszczenie konfiguracji urządzenia, zamiast np. definiować listę ACL do każdego z adresów IP podlegających jej działaniu można utworzyć grupę w skład, której będą wchodzić dane adresy IP a w składni polecenia listy ACL zamiast do adresów odwołać się do grupy. Tak utworzona lista ACL będzie stosowana do wszystkich adresów IP znajdujących się w grupie. Uzyskujemy przejrzystość konfiguracji oraz w przypadku zmiany zasięgu działania listy ACL (dodanie bądź usunięcie adresów IP) modyfikujemy elementy grupy a nie listę ACL (można ten mechanizm porównać z zasadami grup w Windows Server).
    • Implementacja w warstwie 3 lub warstwie 2: firewall może działać w warstwie 3 modelu ISO/OSI co oznacza, że do każdego z interfejsów zapory można przypisać adres IP pomiędzy, którymi jest prowadzony routing. W przypadku warstwy 2 interfejsy sieciowe traktowane są jako most – ruch sieciowy przechodzący pomiędzy interfejsami nadal podlega kontroli i zdefiniowanym regułom.
    • Obsługa tuneli VPN: – firewall może zostać skonfigurowany do obsługi tuneli VPN typu lokalizacja-lokalizacja (ang. Site-to-Site – gdy łączymy ze sobą dwie sieci, pomiędzy, którymi musi być zapewniona komunikacja) oraz tuneli VPN, których zadaniem jest zapewnienie łączności pracownikom z siecią np. przedsiębiorstwa (ang. Client-Site – tunele tego typu najczęściej są wykorzystywane przez klientów pracujących zdalnie ale muszących mieć dostęp do zasobów sieci firmowej).

    Opisane usługi nie wyczerpują wszystkich możliwości urządzenia ale te bardziej złożone i wyrafinowane (np. filtrowanie ruch bootnet czy AMP – ochrona przed złośliwym oprogramowaniem) dostępne są dla urządzeń bardziej zaawansowanych.

    Te możliwości urządzenia zaprezentowane powyżej będziemy wykorzystywać i ich działanie oraz sposób konfiguracji postaram się przedstawić.

    Całość tego wpisu oprę na urządzeniu CISCO ASA 5505, które jest najmniej zaawansowanym sprzętem oferowanym przez CISCO w tej klasie produktów ale na tyle wystarczającym by wszystkie mechanizmy typowej zapory sieciowej omówić.

    Zanim przejdziemy dalej przyjrzyjmy się urządzeniu. Omawiany model wyposażony jest w 256 MB pamięci DRAM (pamięć tą możemy zwiększyć o kolejne 256 MB) oraz 128 MB pamięci flash.

    Na panelu przednim umieszczono szereg diod (poza złączem USB), których zadaniem jest informowanie Nas o stanie urządzenia i aktualnie włączonych funkcjach.

    Dioda Power sygnalizuje Nam podłączenie urządzenia do zasilacza, firewall jest włączony.

    Dioda Status, gdy pali się światłem stałym oznacza to, że nastąpił prawidłowy start urządzenia podczas, którego nie napotkano na żadne błędy (po włączeniu do zasilania dioda Status miga zielonym światłem powiadamiając Nas tym samym, że następuje proces ładowania poszczególnych komponentów systemu). Podczas napotkania na błąd, który uniemożliwia prawidłowy start systemu dioda zacznie mrugać pomarańczowym światłem.

    Paląca się dioda Active oznacza aktywność urządzenia oraz jego prawidłową pracę.

    Zainicjowanie tunelu VPN będzie sygnalizowane zapaleniem się diody VPN.

    Dioda SSC świeci się tylko wtedy gdy do urządzenia CISCO ASA została podłączona dodatkowa karta SSC (ang. Secure Services Card). Zadaniem karty jest zapewnienie przyspieszenia pracy firewalla oraz umożliwienie realizowania połączeń VPN przez większą liczbę klientów. Kartę tą można traktować jako akcelerator.

    Diody Link/Act zapalają się w momencie podpięcia przewodu do interfejsu, miganie diody oznacza prowadzoną transmisję danych. Maksymalna prędkość prowadzonej komunikacji sygnalizowana jest zapaleniem się diody 100 Mbps, niepaląca się dioda oznacza transmisję z prędkością 10 Mbps.

    Łącze USB służy do podłączenia zewnętrznych nośników danych (dysk twardy, pendrive) celem np. aktualizacji oprogramowania. pl/uslugi-informatyczne/">

    Panel przedni mamy z „głowy” przyjrzyjmy się tyłowi (idziemy od lewej).

    Pierwsze złącze Power 48VDC służy do podłączenia zasilania.

    Kolejne 8 łączy (od 0 do 7) to interfejsy sieciowe przy czym interfejsy oznaczone numerem 6 i 7 obsługują standard Power over Ethernet zapewniający zasilanie podłączonych do nich urządzeń (np. kamery IP, AP). Każdy z interfejsów zaopatrzony jest w dwie diody sygnalizujące stan interfejsu.

    Interfejsy sieciowe w CISCO ASA 5505 mogą działać tylko w warstwie 2 co niesie za sobą niemożność skonfigurowania adresów IP bezpośrednio na każdym z interfejsów (w wyższych modelach urządzeń adres IP przypisujemy na danym interfejsie). Ominięciem tego problemu polega na utworzeniu sieci VLAN a następnie zdefiniowaniu jej adresu IP i przypisaniu określonego interfejsu do danej sieci VLAN.

    Na tyle urządzenia zostały umiejscowione dwa dodatkowe złącza USB oraz port interfejsu konsolowego.

    Celem zabezpieczenia urządzenia przed kradzieżą można użyć linki, którą umiejscawia się w złączu Kensington Lock.

    Przycisk Reset służy do wyzerowania ustawień.

    Po odkręceniu dwóch śrubek w wnętrzu firewalla możemy umieścić dodatkową kartę SSC.

    Chwilę temu wspomniałem o parametrze security-level tak więc wypada temat rozwinąć gdyż mechanizm ten stanowi podstawę działania firewalla. Każdemu z interfejsów firewalla możemy przypisać wartość parametru security-level, możliwe do wykorzystania wartości mieszczą się w przedziale od 0 do 100. Poprzez definicję wartości określamy Nasz poziom zaufania do interfejsu. Zasada jest taka: im wyższa wartość tym bardziej ufamy sieci, która przez dany port firewalla jest osiągalna. Ponieważ sieci LAN są tymi sieciami nad którymi mamy pełną kontrolę to najczęściej interfejsowi podłączonemu z tego typu siecią przypisujemy wartość 100. Sieci WAN są poza naszą jurysdykcją dlatego też interfejs, który prowadzi do tej sieci ma przypisywaną wartość 0. Definicja poziomów zabezpieczeń niesie za sobą konsekwencje w sposobie przesyłania pakietów pomiędzy interfejsami, które mają przypisane różne wartości security-level. Obowiązuje zasada, że interfejsy z większą wartością poziomu bezpieczeństwa mogą komunikować się z sieciami o mniejszym poziomie zaufania. Sytuacja odwrotna czyli sieć z niższą wartością security-level nie ma dostępu do sieci znajdującej się za interfejsem dla którego ustaliliśmy większy poziom zaufania (no chyba, że lista ACL mówi inaczej). Podsumowując sieć LAN (secutity-level 100) wyśle swoje pakiety do sieci WAN (security-level 0) bez komplikacji zaś pakiety z sieci WAN do sieci LAN zostaną zablokowane.

    Na poniższym schemacie został zaprezentowany sposób kontrolowania przepływu ruchu sieciowego (przedstawiony schemat sieci jest najczęściej implementowanym modelem, strzałkami został zaznaczony tylko ruch dozwolony w innych sytuacjach ruch jest blokowany). Sieć została podzielona na trzy strefy: Internet, DMZ oraz sieć LAN. W LAN-ie znajdują się chronione komputery tak by dostęp z poziomu Internetu i strefy DMZ był do nich zabroniony. Komunikacja z sieci Internet oraz DMZ z hostami w sieci LAN jest niemożliwa gdyż interfejs przez który dostępna jest sieć LAN ma zdefiniowany najwyższy możliwy poziom bezpieczeństwa. A jak już wiesz pakiety z interfejsów z niższym poziomem security-level kierowane do interfejsów bardziej zaufanych są odrzucane. Za to pakiety z sieci LAN mogą być swobodnie przekazane w kierunku Internetu oraz strefy DMZ. W strefie DMZ znajdują się komputery, które realizują usługi, które muszą być dostępne z poziomu Internetu (np. serwer WWW czy poczty elektronicznej). W domyślnej konfiguracji dostęp z Internetu do strefy DMZ jest niemożliwy ale poprzez utworzenie listy dostępu, możemy na dany typ ruchu sieciowego zezwolić. Tak więc jeśli w strefie DMZ znajduje się serwer WWW akceptowalnym ruchem sieciowym nie podlegającym blokowaniu będzie ten związany ze stronami internetowymi (ruch sieciowy innego typu nie spełni kryterium listy ACL więc zostanie przez firewall odrzucony).

    Podstawowym celem tworzenia strefy DMZ jest zapewnienie ochrony sieci lokalnej w przypadku naruszenia bezpieczeństwa znajdujących się w niej serwerów. Jeśli atak na serwer znajdujący się w strefie DMZ powiedzie się i atakujący uzyska dostęp do tego segmentu sieci to dzięki zastosowaniu segmentacji sieci z różnymi poziomami zabezpieczeń nie uzyska on z poziomu tej strefy dostępu do sieci LAN.

    Podczas podejmowania decyzji o zakupie urządzenia trzeba wziąć pod uwagę jeszcze jeden czynnik (ominięcie go może spowodować, że zakupione urządzenie nie będzie spełniać Naszych oczekiwań) a mianowicie sposób wyboru licencjonowania. Wybór odpowiedniej licencji ma wpływ na funkcjonalność urządzenia oraz na zakres jego działania.

    Wybieramy pomiędzy dwiema licencjami:

    • Base License

    Licencja ta pozwala na skonfigurowanie do 3 sieci VLAN, co umożliwia Nam podzielenie sieci na trzy odrębne strefy (wewnętrzna, zewnętrzna, DMZ). Niestety urządzenia pracujące na bazie tej licencji mają nałożone ograniczenie komunikacji między sieciami VLAN. Oznacza to, że strefa wewnętrzna VLAN może komunikować się z DMZ, ale już sytuacja odwrotna jest niedozwolona (DMZ nie może wysyłać ruchu do wewnętrznej sieci VLAN). Brak możliwości zestawienia łącza typu trunk oraz wprowadzenia redundancji urządzeń.

    • Security Plus License

    Licencja ta znosi ograniczenia licencji podstawowej. Maksymalna ilość sieci VLAN jaką można utworzyć wynosi 20 i możliwe jest skonfigurowanie interfejsu do pracy w trybie trunk. Pełna komunikacja pomiędzy sieciami VLAN jest zapewniona. Możliwość wykorzystania nadmiarowości urządzeń.

    Pełne porównanie możliwości każdej z licencji znajdziesz na stronie cisco.

    Topologia sieci na której będziemy ćwiczyć konfigurację urządzenia CISCO ASA 5505 prezentuje się następująco (nie jest skomplikowana ale pozwoli Nam na poznanie i skonfigurowanie podstawowych funkcji urządzenia). pl/uslugi-informatyczne/cyber-security/wdrozenie-firewall/">Firewall CISCO ASA 5505 został fabrycznie skonfigurowany w taki sposób, by po wyjęciu urządzenia z pudełka było one od razu gotowe do pracy. Interfejs Ethernet 0/0 (sieć zewnętrzna, Internet) uzyskuje adres IP od naszego ISP (klient DHCP) a interfejsy wewnętrzne (Ethernet 0/1 – 0/7) dostarczają konfigurację sieciową podłączonym do nich hostom (serwer DHCP).

    Opis konfiguracji urządzenia rozpoczniemy od wiersza linii poleceń. Dostęp do firewalla uzyskujemy po podłączeniu go z komputerem z wykorzystaniem portu Console.

    Na naszym firewallu CISCO ASA rozpoczynamy od przejścia do trybu uprzywilejowanego, aby tryb ten uaktywnić wpisujemy dobrze Nam znane polecenie: enable (przy zapytaniu o hasło wybieramy Enter – hasło nie jest ustawione).

    Pierwszą czynnością jaką możemy wykonać jest sprawdzenie wersji oprogramowania oraz wersji posiadanej licencji. Wszystkie informacje uzyskamy wydając polecenie: show version

    W następnym kroku przechodzimy do trybu konfiguracji globalnej i na postawione pytanie dotyczące wysyłania anonimowych raportów odpowiadamy według własnego uznania.

    Naszą konfigurację rozpoczniemy od zdefiniowania hasła dostępu do trybu uprzywilejowanego oraz założenia konta użytkownika.

    1 – za pomocą polecenia: enable password <hasło> – ustalamy hasło dostępu do trybu enable,

    2 – za pomocą polecenia: username <nazwa_konta> password <hasło> privilege <poziom> definiujemy konto użytkownika lokalnego. Poniżej zostało utworzone konto luk z hasłem cisco, użytkownika ma maksymalny poziom uprawnień

    Stacja robocza jest do firewalla CISCO ASA podpięta do interfejsu e0/3 tak więc przejdźmy do ustawień portu. Konfigurację interfejsu tak jak w innych urządzeniach CISCO przeprowadzamy w trybie danego interfejsu aby tryb ten uaktywnić wydajemy polecenie: interface <nazwa_interfejsu>

    Przypisanie portu do sieci VLAN realizujemy za pomocą komendy: switchport access vlan <numer_VLAN> – port został przypisany do sieci VLAN 1. Za pomocą polecenia: description <opis> możemy zdefiniować opcjonalny opis portu. Aby port uaktywnić wydajemy komendę: no shutdown

    Wprowadzone ustawienia interfejsu możemy zweryfikować wydając polecenie: show interface <nazwa_interfejsu>

    Wszystkie porty od e0/1 do e0/7 są przypisane do sieci VLAN 1. Sieć ta jest naszą siecią lokalną tak więc jest to sieć o największym zaufaniu. Dlatego też do sieci VLAN 1 został przypisany poziom security-level o wartości 100 Zdefiniowanie poziomu zaufania do sieci wykonujemy za pomocą polecenia: security-level <wartość> Polecenie wydajemy w trybie konfiguracji interfejsu VLAN.

    Stan przypisania portów do określonego VLAN-u możemy sprawdzić wydając polecenie: show switch vlan zaś informacje statystyczne poznamy za pomocą komendy: show interfave vlan <numer>

    Oprogramowanie Cisco ASA pozwala Nam na zdefiniowanie nazwy interfejsu, alias ten może być użyty podczas dalszej konfiguracji urządzenia a dodatkowo nazwa ta lepiej definiuje przeznaczenie interfejsu. Poniżej interfejsowi VLAN 1 został przypisana nazwa LAN. Nazwę definiujemy w trybie konfiguracji interfejsu za pomocą polecenia: nameif <nazwa> Domyślnie sieć VLAN 1 jest identyfikowana jako inside zaś sieć VLAN 2 jako outside.

    Jak można zauważyć poniżej zdefiniowana nazwa interfejsu VLAN znajduje odzwierciedlenie w wydanej komendzie: show switch vlan

    Rezygnujemy z domyślnej konfiguracji IP i adres interfejsu zostaje zmieniony z adresu 192. 168. 1. 1 na 10. 1 Po zmianie adresu IP zostaje wyświetlony komunikat o jego niezgodności z zdefiniowaną pulą adresów serwera DHCP. Polecenie wydajemy w trybie konfiguracji interfejsu VLAN a składnia polecenia jest taka sama jak na innych urządzeniach CISCO: ip address <adres_IP> <maska_sieci>

    Zmiana adresu IP pociągnęła za sobą wyłączenie serwera DHCP dlatego też aby nowi klienci mogli uzyskać prawidłowe parametry sieci musimy skonfigurować na nowo ustawienia serwera DHCP.

    Pulę adresów DHCP definiujemy za pomocą komendy: dhcpd address <początkowy_adres_IP> <końcowy_adres_IP> <nazwa_sieci> Ilość adresów w puli zależna jest od licencji urządzenia w wersji podstawowej maksymalna liczba dostępnych adresów wynosi 32 dlatego też zakres puli został ustawiony od adresu IP 10. 10 do adresu 10. 41 Definicja większego zakresu zakończy się jej ograniczeniem do ilości określonej przez posiadaną licencję.

    Kolejne opcje dotyczą:

    1 – czas dzierżawy adresu IP – dhcpd lease <czas> (12 godzin),

    2 – adres serwera DHCP – dhcpd dns <adres_IP>,

    3 – adres bramy – dhcpd option 3 ip <adres_IP>,

    4 – uaktywnienie serwera w kontekście danej sieci – dhcpd enable <nazwa_sieci>

    Na firewallu CISCO ASA Serwer DHCP został uruchomiony sprawdźmy zatem czy adresy IP są poprawnie przypisywane. Jak widać poniżej stacji klienckiej została dostarczona konfiguracja sieci. Host otrzymał pierwszy adres IP z zdefiniowanej puli, adres bramy oraz serwera DNS są tożsame z tymi zdefiniowanymi podczas konfiguracji serwera DHCP.

    Stan serwera DHCP możemy sprawdzić za pomocą komend:

    1 – show dhcpd binding – ilość przypisanych adresów IP wraz z informacją o adresie MAC klienta i czasem wygaśnięcia dzierżawy adresu,

    2 – show dhcpd state – ogólny stan usługi serwera DHCP – od strony sieci LAN urządzenie jest serwerem zaś od strony sieci zewnętrznej klientem,

    3 – show dhcpd statistics – statystyka serwera DHCP – ilość wysłanych/odebranych pakietów z rozbiciem na ich określony typ.

    I tu również jest wszystko w porządku.

    Serwer DHCP działa, przechodzimy dalej i kolejnym krokiem będzie konfiguracja dostępu z wykorzystaniem serwera WWW.

    Aby móc zarządzać routerem CISCO ASA z wykorzystaniem oprogramowania CISCO ASDM (ang. Adaptive Security Device Manager) musimy skonfigurować dostęp do urządzenia z poziomu przeglądarki.

    Aby uruchomić serwer http należy w trybie konfiguracji globalnej wydać polecenie: http server enable a następnie określić sieć (można również określić hosty), z poziomu, której dostęp do urządzenia z wykorzystaniem przeglądarki będzie możliwy. Definicję uprawnionych klientów przeprowadzamy za pomocą komendy: http <adres_sieci> <maska_sieci> <nazwa_sieci> W przykładzie poniżej każdy host należący do sieci 10. 0/24 będzie mógł uzyskać dostęp do urządzenia.

    Kompleksowe usługi informatyczne dla firm. Oferujemy: Outsourcing IT, certyfikaty SSL, szkolenia informatyczne oraz audyty bezpieczeństwa.

    Zadzwoń i dowiedz się więcej, tel. 68 411 40 00.

    Po przeprowadzonej konfiguracji sprawdzamy jej efekt – po uruchomieniu przeglądarki w pasku adresu wpisujemy adres IP firewalla – https://10. 1 (nie zapomnij dodać https). Łączność zostaje nawiązana lecz przeglądarka zgłasza błąd dotyczący certyfikatu – jest to jak najbardziej prawidłowe zachowanie gdyż przeglądarka tego typu certyfikaty zapisane na urządzeniach z reguły traktuje jako nieprawidłowe. Aby nawiązać połączenie (w przypadku Firefox) wybieramy Zaawansowane a następnie Dodaj wyjątek.

    Po kliknięciu w nowo otwartym oknie potwierdzamy wyjątek bezpieczeństwa.

    Po potwierdzeniu, że na pewno ufamy certyfikatowi zostaje nawiązane połączenie. Na wyświetlonej stronie celem instalacji narzędzia wybieramy Install ASDM Launcher. Po wyborze opcji następuje instalacja aplikacji, która przebiega w sposób standardowy. Ważne jest aby mieć zainstalowane oprogramowanie JAVA, gdyż to na nim opiera się funkcjonowanie narzędzia ASDM.

    Aplikacja ASDM została zainstalowana prawidłowo.

    Sprawdźmy zatem czy uda się Nam narzędzie uruchomić i nawiązać prawidłowe połączenie. Po wyborze ikony programu musimy zdefiniować adres IP urządzenia oraz podać dane uwierzytelniające (korzystamy z konta użytkownika luk utworzonego w CLI). Wybieramy OK.

    Po podaniu prawidłowych danych następuje połączenie z firewallem.

    Weryfikację połączenia przy wykorzystaniu narzędzia ASDM możemy sprawdzić za pomocą polecenia: show asdm sessions zaś wersję, która zostanie zainstalowana po wyborze przycisku Install ASDM Launcher poznamy wydając komendę: show asdm image

    Narzędzie ASDM wykorzystamy jeszcze w dalszej części opisu a My powróćmy do wiersza poleceń i przeprowadźmy dalszą konfigurację urządzenia z wykorzystaniem interfejsu tekstowego.

    Zanim przejdziemy do konfiguracji sesji zdalnej Telnet oraz SSH jeszcze dwa proste ustawienia.

    Zmianę nazwy urządzenia przeprowadzamy w trybie konfiguracji globalnej za pomocą komendy: hostname <nowa_nazwa> Domyślna nazwa ciscoasa została zmieniona na ASA.

    Warto jest również ustawić bieżący czas gdyż w przypadku włączonego raportowania znacznie ułatwia to orientowanie się w zapisanych logach. Czas ustawiamy za pomocą polecenia: clock set <00:00:00> <dzień_miesiąc_rok> zaś efekt wydania polecenia sprawdzimy za pomocą komendy: show clock

    Część konfiguracji routera CISCO ASA mamy już za sobą. Przechodzimy do konfiguracji zestawienia połączenia zdalnego. Rozpoczniemy od połączenia Telnet. Już wiele razy zaznaczałem, iż nie jest to do końca dobry pomysł gdyż wszystkie poświadczenia wprowadzane podczas tego typu sesji są przesyłane jawnie, co w przypadku sytuacji przechwycenia pakietów powoduje przez atakującego przechwycenie danych uwierzytelniających. Dlatego też warto jak już musimy korzystać z tego typu rozwiązania zdefiniować adresy hostów z których takie połączenie może zostać wykonane (wprawdzie nie uchroni Nas to przed utratą hasła w przypadku prowadzenia podsłuchu przez atakującego ale uniemożliwi wykonanie procesu logowania z dowolnej maszyny dostępnej w sieci). I tak też właśnie uczynimy.

    Aby skonfigurować sesję Telnet rozpoczynamy od zdefiniowania hasła, które zostanie użyte podczas jej nawiązywania. Hasło określamy za pomocą polecenia: password <hasło> W następnym kroku za pomocą komendy: telnet <adres_ip> <maska> <nazwa_sieci> konfigurujemy adresy IP hostów, które to połączenie będą mogły zestawić. W przykładzie poniżej nawiązać połączenie może tylko host 10. 10 gdyż użyta maska 255. 255. 255 ma dopasowanie tylko do tego adresu. Dodatkowo czas automatycznego rozłączenia sesji (gdy nic się nie dzieje) za pomocą polecenia: timeout <czas> został ustawiony na 3 minuty (domyślnie 5 minut).

    Ustawienia Telnet można zweryfikować za pomocą komendy: show running telnet

    Sesja Telnet została skonfigurowana czas przetestować ją w działaniu. Połączenie zostaje nawiązane z hosta 10. 10 jak widać poniżej wszystko przebiegło pomyślnie. Stan aktualnych połączeń możemy zweryfikować po wydaniu komendy: who

    Aby sesję przerwać posługujemy się poleceniem: kill <numer_sesji> Poniżej administrator zamyka sesję o identyfikatorze 0. Po wydaniu komendy połączenie z hostem zostaje natychmiast przerwane.

    Podczas nawiązywania połączenia celem autoryzacji należało podać hasło zdefiniowane za pomocą komendy: password <hasło> aby wymusić logowanie z uwzględnieniem lokalnej bazy użytkowników należy wydać dodatkowe polecenie: aaa authentication telnet console LOCAL Od tej pory podczas nawiązywania połączenia będziemy musieli podać nazwę użytkownika oraz hasło. Niżej zamieszczono przykład w którym do zalogowania wykorzystano wcześniej zdefiniowane konto użytkownika luk.

    Połączenie Telnet działa przechodzimy do SSH.

    Do zestawienia połączenia również wykorzystamy konto użytkownika luk. Aby sprawdzić listę utworzonych kont możemy posłużyć się komendą: show aaa local user Aby móc przy pomocy tego konta uzyskać zdalny dostęp do urządzenia wydajemy polecenie nakazujące weryfikację połączenia z wykorzystaniem lokalnej bazy użytkowników (tak samo jak w przypadku telnet): aaa authentication ssh console LOCAL

    Wymuszenie logowania za pomocą kont zapisanych w bazie dla połączenia konsolowego wykonamy po wydaniu komendy: aaa authentication serial console LOCAL

    By połączenie SSH doszło do skutku musimy wygenerować klucz, który zostanie użyty do zabezpieczenia naszego połączenia – klucz generujemy wydając polecenie: crypto key generate rsa modulus <długość_klucza> W przypadku istnienia takiego klucza musimy potwierdzić jego zamianę.

    Ostatnią czynnością jest określenie wersji protokołu SSH (ssh ver <wersja_protokołu>) i określenie adresów hostów, które połączenie mogą nawiązać (ssh <adres_IP> <maska_sieci> <nazwa_sieci>).

    Poprawność wszystkich ustawień zweryfikujemy wydając instrukcje: show ssh

    Konfiguracja dobiegła końca ostatni test to próba nawiązania połączenia. Do zestawienia sesji zostaje użyta aplikacja PuTTY (podczas pierwszego połączenia musimy zatwierdzić odcisk klucza – wybieramy TAK).

    Aby kontynuować należy podać poświadczenia użytkownika luk. Weryfikację sesji dokonamy za pomocą komendy: show ssh session (komenda: who w przypadku SSH nie działa).

    Po stronie sieci LAN podstawową konfigurację mamy wykonaną czas by umożliwić naszej sieci dostęp do Internetu. Łączność z siecią Internet zapewniona jest dzięki interfejsowi e0/0 tak więc nasze ustawienia rozpoczniemy od tego interfejsu.

    Po przejściu do trybu konfiguracji interfejsu, port e0/0 przypisujemy do VLAN-u 2 – switchport access vlan <numer>. Aby interfejs uaktywnić należy wydać polecenie: no shutdown

    Ponieważ interfejs routera CISCO ASA e0/0 został włączony do sieci VLAN 2 kolejne czynności przeprowadzimy w trybie konfiguracji interfejsu VLAN 2. Ponieważ adres IP interfejsowi ma zostać przydzielony od strony ISP, dlatego też port musi pracować w trybie klienta ip address dhcp Konfigurowany port znajduje się poza naszą „strefą wpływów” dlatego też za pomocą komendy: security-level <wartość> zostaje zdefiniowany najniższy możliwy poziom zaufania, dodatkowo alias interfejsu przyjmuje nazwę: INTERNET

    Weryfikację wprowadzonych ustawień przeprowadzamy z wykorzystaniem instrukcji: show interface vlan 2 Interfejsowi został przypisany adres IP 192. 102

    Łączność z routerem jest zapewniona. Wydanie polecenia ping kończy się sukcesem.

    Przypisane interfejsom adresy IP dodatkowo sprawdzimy przy wykorzystaniu komendy: show ip

    Kolejnym krokiem jest zapewnienie dostępu do Internetu. W pierwszej kolejności rozpoczniemy od samego urządzenia. Jak można zauważyć po analizie zrzutu poniżej firewall nie może komunikować się z siecią zewnętrzną gdyż nie zna „drogi” która posłuży mu do przesłania pakietów. Test ping z wykorzystaniem adresów IP 8. 8. 8 oraz 4. 2. 2 kończy się niepowodzeniem (No route to host …). Zmieńmy to i wskażmy urządzeniu trasę, którą pakiety będą mogły podróżować, tak by osiągnąć cel.

    Ponieważ urządzenie odpowiedzialne jest za routowanie pakietów dlatego po wydaniu polecenia: show route poznamy adresy IP sieci do których może być prowadzona komunikacja. Do firewalla bezpośrednio zostały podłączone dwie sieci 10. 0/24 (LAN) oraz 192. 0/24 (INTERNET)

    Aby pakiety mogły być swobodnie przesyłane od strony sieci LAN w kierunku Internetu musimy zdefiniować statyczną trasę zerową, która swym działaniem obejmie wszystkie możliwe adresy IP. Trasę taką wprowadzimy do tablicy routingu za pomocą polecenia: route <nazwa_interfejsu_zewnętrznego> <adres_IP> <maska> <adres_następnego skoku> Po wydaniu komendy wszystkie pakiety, które nie zostaną dopasowane do adresów sieci innych tras zostaną przesłane z wykorzystaniem trasy zerowej w kierunku adresu następnego skoku (w Naszym przypadku jest to adres IP 192. 1). pl/wp-content/uploads/definicja-statyczna-trasy-zerowej. jpg" alt="definicja statyczna trasy zerowej" width="680" height="71" srcset="https://www. pl/wp-content/uploads/definicja-statyczna-trasy-zerowej-300x31. pl/wp-content/uploads/definicja-statyczna-trasy-zerowej-64x7. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Weryfikację dodania trasy wykonamy wydając powtórnie polecenie: show route

    Urządzenie ASA uzyskało dostęp do sieci Internet. Jak widać poniżej ponowny test ping w połączeniu z adresami IP 4. 2 oraz 8. 8 tym razem kończy się sukcesem. pl/wp-content/uploads/test-ping. jpg" alt="test ping" width="680" height="200" srcset="https://www. pl/wp-content/uploads/test-ping-300x88. pl/wp-content/uploads/test-ping-64x19. jpg 64w" sizes="(max-width: 680px) 100vw, 680px"/>

    Aby hosty znajdujące się w sieci LAN mogły nawiązać połączenie z siecią Internet musimy dodatkowo skonfigurować NAT. Ponieważ najczęściej wykorzystywaną metodą translacji adresów jest PAT (ang. Port Address Translation – jeden publiczny adres IP pod którym są dostępne pozostałe hosty) tak więc tę metodę omówimy.

    Konfigurację PAT rozpoczynamy od definicji obiektu: object network (obiekt jest to zbiór ustawień) za pomocą polecenia: object network <nazwa_obiektu> (polecenie wydajemy w trybie konfiguracji globalnej) – punkt 1. Po wydaniu polecenia przechodzimy do przypisania ustawień, które dany obiekt będą charakteryzować. Za pomocą polecenia subnet <adres_sieci> <maska> (punkt 2) określamy sieć co do której będą stosowane reguły translacji. Ostatnim krokiem jest wskazanie nazw interfejsów, które w translacji będą uczestniczyć. Czynność tą wykonamy za pomocą komendy: nat (<nazwa_interfejs_wewnętrzny>, <nazwa_interfejs_zewnętrzny>) dynamic interface (punkt 3). Translacja adresów z wykorzystaniem PAT została skonfigurowana.

    Konfigurację NAT zweryfikujemy wydając polecenie: show nat

    Zaś dokładne informacje dotyczące działania mechanizmu NAT możemy uzyskać wyświetlając za pomocą polecenia: show xlate aktualną tablicę translacji.

    Po wykonaniu tych wszystkich czynności hosty znajdujące się w sieci wewnętrznej powinny uzyskać dostęp do Internetu (nie weryfikuj dostępu do sieci Internet z wykorzystaniem ping gdyż test ten zakończy się niepowodzeniem – wykorzystaj przeglądarkę).

    Te podstawowe, przedstawione przeze mnie polecenia pozwolą Ci czytelniku na skonfigurowanie z powodzeniem urządzenia CISCO ASA. Na tym etapie kończymy korzystanie z trybu wiersza poleceń.

    Omówienie trybu graficznego w CISCO ASA

    Kilka linijek wyżej zainstalowaliśmy oprogramowanie ASDM, które umożliwia nam konfigurację urządzenia z wykorzystaniem GUI. Prześledźmy zatem jak skonfigurować Cisco ASA z wykorzystaniem tego narzędzia. Lecz zanim przejdziemy do właściwych ustawień, zatrzymajmy się chwilkę by omówić interfejs programu.

    Po uruchomieniu programu i poprawnym zalogowaniu się do urządzenia zostanie wyświetlone główne okno aplikacji, które podzielone jest na dwie zakładki: Device Dashboard oraz Firewall Dashboard.

    Na pierwszej zakładce zostały zaprezentowane takie informacje jak:

    • Device Information – podstawowe dane o urządzeniu – nazwa, wersje oprogramowania (firmware urządzenia, ASDM), czas uruchomienia, tryb pracy czy ilości pamięci. Na zakładce License znajdziesz informacje o typie posiadanej licencji,
    • VPN Session – informacje o nawiązanych sesjach VPN,
    • System Resources Status – wykresy ukazujące stopień wykorzystania komponentów urządzenia (CPU, pamięć),
    • Interface Status – aktywne interfejsy sieciowe – ich stan, przypisane adresy IP i ilość przesyłanych informacji,
    • Trafic Status – statystyka ruchu sieciowego,
    • Latest ASDM Sysylog Messages – komunikaty syslog (stan urządzenia) – okno aktywne po wybraniu opcji Enable Logging.

    Kompleksowe usługi informatyczne dla firm.

    Zakładka Firewall Dashboard dostarczy Nam informacje o:

    Traffic Overview – wykresy reprezentujące statystykę prowadzonych połączeń wraz z informacją o pakietach, które przez urządzenie zostały odrzucone i prawdopodobnych próbach ataku.

    Top 10 … – najczęściej zaistniałe zdarzenia – zdarzenia te dotyczą list ACL, które miały zastosowanie, wykorzystywanych adresów IP (źródło, cel), aktywnych użytkowników czy hostów.

    Do wszystkich opcji narzędzia i oferowanych funkcji oprogramowania ASDM dla CISCO ASA możemy dostać się wykorzystując do tego górne menu oraz zestaw ikon dostępnych na pasku zadań.

    Przyjrzyjmy się więc opcją dostępnym w górnym menu.

    Menu zostało podzielone na 6 kategorii po rozwinięciu, których uzyskujemy dostęp do opcji bardziej zaawansowanych.

    1 – File – wybranie tej pozycji umożliwi nam wykonanie takich zadań jak: odświeżenie okna narzędzia ASDM, przywrócenie ustawień fabrycznych urządzenia, wgląd oraz zapis konfiguracji bieżącej urządzenia czy wyczyszczenie pamięci podręcznej.

    2 – View – dostosowywanie widoków, przejście do ekranów konfigurujących bądź monitorujących stan urządzenia czy utworzenie zakładek po wyborze których mamy szybki dostęp do najczęściej wykorzystywanych ekranów,

    3 – Tools – po rozwinięciu menu uzyskamy możliwość skorzystania z wielu narzędzi ułatwiających wykonanie Nam podstawowych czynności administracyjnych i tak: przy pomocy narzędzi ping, traceroute, packet tracer zbadamy osiągalność hostów, wykonamy backup i import ustawień, dokonamy aktualizacji oprogramowania, wymusimy ponowny rozruch urządzenia, wykonamy podstawowe operacje plikowe (kopiowanie, usuwanie plików) czy przy pomocy wiersza linii poleceń wydamy dowolne polecenie.

    4 – Wizards – zestaw kreatorów, które pozwolą Nam na przeprowadzenie konfiguracji urządzenia krok po kroku odpowiadając na poszczególne pytania np. podstawowa konfiguracja CISCO ASA czy konfiguracja połączenia VPN.

    5 – Window – lista aktywnych okien, możliwość przełączania się pomiędzy nimi,

    6 – Help – dostęp do pomocy.

    Opcje dostępne na zakładkach (od lewej) pozwalają na:

    • Home – ekran startowy.
    • Configuration – przejście do konfiguracji urządzenia, po wyborze tej ikony dostępne są kolejne, które umożliwiają skonfigurowanie poszczególnych parametrów pracy
    • Device Setup – podstawowe ustawienia urządzenia, z poziomu tej ikony uzyskamy dostęp do opcji związanych z interfejsami, routingiem (statycznym, dynamicznym), nazwą urządzenia, przypisaniem haseł czy czasem.

    Firewall (zapora ogniowa) – ta grupa ustawień dotyczy konfiguracji mechanizmu NAT, list dostępu ACL czy zarządzania certyfikatami.

    Remote Access VPN – konfiguracja dostępu do sieci z wykorzystaniem tuneli VPN dla użytkowników zdalnych.

    Site-to-Site VPN – konfiguracja tunelu VPN, którego zadaniem jest połączenie ze sobą dwóch oddalonych od siebie sieci.

    Device Management – grupa opcji, których zadaniem jest konfiguracja opcji związanych z dostępem do urządzenia (tworzenie użytkowników oraz nadawanie im uprawnień, mechanizm AAA oraz RADIUS). Ponadto znajdziesz tu również ustawienia dotyczące ustawień serwerów DHCP czy DNS.

    Monitoring – jak sama nazwa wskazuje grupa kart odpowiedzialnych za monitorowanie stanu urządzenia. Poszczególne parametry pracy firewalla zostały zgrupowane na odpowiednich kartach, gdzie przeglądając je uzyskujemy wiedzę o aktualnym stanie urządzenia (prowadzone zadania, konfiguracja czy wykorzystanie zasobów).

    Pierwsza karta Interface informuje Nas o statusie interfejsów – znajdziemy tu informacje o adresach IP (statycznych i dynamicznych), zyskamy wgląd w tablicę protokołu ARP czy poznamy stopień wykorzystania pasma (ilość wysyłanych/odbieranych pakietów przez dany interfejs).

    Karta VPN poinformuje Nas o stanie nawiązanych połączeń VPN wraz z bardzo bogatą statystyką pakietów jakie są wymieniane podczas nawiązanych sesji.

    Ponieważ jedną z funkcji urządzenia jest możliwość prowadzenia routingu na karcie Routing zostały zebrane wszystkie informacje związane z tą funkcjonalnością urządzenia (informacje związane z protokołami routingu dynamicznego OSPF oraz EIGRP).

    Karta Properties zawiera informację związane z aktualnie nawiązanymi sesjami z urządzeniem, użytkownikach, serwerach AAA, wykorzystaniu zasobów urządzenia (procesor, pamięć) czy tablicy translacji.

    Celem rozwiązania problemów z konfiguracją czy samym urządzeniem możemy skorzystać z karty Logging gdzie w czasie rzeczywistym możemy przeglądać logi urządzenia co daje Nam wgląd w aktualnie prowadzone zadania i realizowane funkcje.

    Pozostałe przyciski dostępne na pasku zadań pozwalają na:

    • Save – zapisane konfiguracji.
    • Refresh – odświeżenie ustawień.
    • BackForward – przejście pomiędzy ostatnio używanymi ekranami.
    • Help – dostęp do pomocy.

    Podstawowa konfiguracja urządzenia CISCO ASA

    Omówiliśmy interfejs programu, wykonajmy zatem podstawową konfigurację urządzenia – do tego celu wykorzystamy kreator: Startup Wizard. Kreator uruchomimy klikając na opcję Startup Wizard dostępną w menu Wizards. Alternatywą jest wybranie pozycji Configuration a następnie Device Setup i ikony Launch Startup Wizard.

    Pierwszy krok (a jest ich 9) uruchomionego kreatora to pytanie – czy chcemy przywrócić urządzenie do ustawień fabrycznych (ang. Reset configuration to factory defaults) czy wykonać modyfikację istniejącej konfiguracji (ang. Modify existing configuration). Wybieramy opcję pierwszą (urządzenie zostało zresetowane do ustawień fabrycznych, rozpoczynamy od konfiguracji domyślnej).

    Krok drugi to określenie nazwy urządzenia oraz nazwy domeny (jeśli takowa istnieje – jeśli nie pole zostawiamy puste). Na tym etapie możemy również zdefiniować hasło wejścia do tryb uprzywilejowanego. W tym celu zaznaczamy opcję: Change privileged mode (enable) password i w polu New Password definiujemy hasło. Hasło potwierdzamy wpisując je ponownie w polu: Confirm New Password. Ponieważ w konfiguracji początkowej hasło do trybu enable nie jest zdefiniowane dlatego pole: Old Password pozostawiamy puste. pl/wp-content/uploads/startup-wizard-2. pl/wp-content/uploads/startup-wizard-2-300x287. pl/wp-content/uploads/startup-wizard-2-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

    Kolejne okno Interface Selection służy do przypisania identyfikatora sieci VLAN do interfejsu sieci zewnętrznej (outside, sieć Internet, domyślny poziom zabezpieczeń 0) oraz określenie sieci VLAN będącej po stronie LAN (inside, domyślny poziom zabezpieczeń 100). Zaproponowane opcje możemy pozostawić, jeśli zaś chcesz utworzyć nową sieć VLAN wybierz opcję: Create new VLAN. Uaktywnienie VLAN-ów dokonujemy poprzez zaznaczenie opcji: Enable VLAN. pl/wp-content/uploads/startup-wizard-3. pl/wp-content/uploads/startup-wizard-3-300x287. pl/wp-content/uploads/startup-wizard-3-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

    Krok czwarty pozwala na przypisanie fizycznych interfejsów zapory ogniowej (firewalla) do zdefiniowanych w kroku poprzednim sieci VLAN. Przynależność interfejsów do danej sieci VLAN zrealizujesz za pomocą przycisków Add oraz Remove Interfejsy określasz dla każdej z sieci VLAN oddzielnie. pl/wp-content/uploads/startup-wizard-4. pl/wp-content/uploads/startup-wizard-4-300x287. pl/wp-content/uploads/startup-wizard-4-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

    Karta Interface IP Address Configuration odpowiedzialna jest za definicję adresów IP pod którymi będą dostępne sieci VLAN. Sposób adresacji określamy osobno dla sieci zewnętrznej oraz wewnętrznej. Ponieważ adres IP dla sieci VLAN outside ma zostać skonfigurowany automatycznie została wybrana opcja: Use DHCP. Zaznaczenie pola: Obtain default route using DHCP pozwoli automatycznie uzyskać informację o trasie statycznej (opcja musi być wspierana przez serwer

    Adres IP po stronie sieci LAN definiujemy sami. Tak jak w przypadku wykonanej konfiguracji z użyciem wiersza poleceń zostaje wybrany adres IP 10. 1 w połączeniu z maską 255. 0

    Krok 6 to decyzja o uruchomieniu serwera DHCP po stronie interfejsu wewnętrznego. Aby serwer mógł zacząć przydzielać adresy IP hostom znajdującym się w sieci LAN zaznaczamy opcję: Enable DHCP server on the inside interface Po wyborze opcji pola dotyczące dostarczanych adresów IP zostaną uaktywnione. Definiujemy następujące pola:

    Starting IP Address oraz Ending IP Address – definicja puli adresowej z której serwer DHCP będzie mógł przydzielać adresy IP (pamiętamy o ograniczeniu do 32 adresów IP w przypadku licencji standardowej),

    DNS Server – adres serwera DNS.

    W przypadku naszej ćwiczebnej topologii wystarczy określenie opcji zaprezentowanych powyżej, oczywiście wpisane adresy IP dostosowujemy do środowiska sieciowego w którym urządzenie ma pracować.

    Nie wszystkie opcje serwera DHCP można określić za pomocą tej karty dlatego też celem doprecyzowania ustawień będzie trzeba przeprowadzić dalszą konfigurację po zakończeniu pracy kreatora. pl/wp-content/uploads/startup-wizard-6. pl/wp-content/uploads/startup-wizard-6-300x287. pl/wp-content/uploads/startup-wizard-6-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

    Kolejna porcja ustawień dotyczy konfiguracji mechanizmu translacji adresów IP. Aby uruchomić funkcję zaznaczamy opcję: Use Port Address Translation (PAT) – zaznaczenie ustawienia spowoduje uruchomienie PAT (jeden publiczny adres a wielu użytkowników). pl/wp-content/uploads/startup-wizard-7. pl/wp-content/uploads/startup-wizard-7-300x287. pl/wp-content/uploads/startup-wizard-7-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

    Karta Administrative Access jest odpowiedzialna za określenie adresów IP z których będzie możliwy dostęp do urządzenia. Domyślnie zakres adresów IP obejmuje całą sieć w której znajduje się interfejs wewnętrzny. Aby zdefiniować konkretne adresy IP wybierz przycisk Edit. Aby dostęp do urządzenia z wykorzystaniem przeglądarki był możliwy musi być zaznaczona opcja: Enable HTTP Server for HTTPS/ASDM access

    Krok ostatni konfiguracji CISCO ASA to podsumowanie ustawień, które zostaną przesłane do urządzenia. W przypadku stwierdzenia, poprawności przeprowadzonej konfiguracji wybieramy Finish. Rozpoczyna się konfiguracja zapory ogniowej (firewalla). pl/wp-content/uploads/startup-wizard-9. pl/wp-content/uploads/startup-wizard-9-300x287. pl/wp-content/uploads/startup-wizard-9-64x61. png 64w" sizes="(max-width: 642px) 100vw, 642px"/>

    Podczas stosowania ustawień możemy zostać poproszeni o hasło – wpisujemy zdefiniowane hasło dostępu do trybu uprzywilejowanego (pole Username pozostawiamy puste).

    Konfiguracja urządzenia dobiegła końca.

    Aby wszystko poprawnie działało musimy dodać jedno z ustawień serwera DHCP – informacja o rozgłaszaniu adresu IP bramy domyślnej. Aby to zadanie wykonać przechodzimy do karty Configuration/Device Management a następnie z lewej strony rozwijamy gałąź DHCP i klikamy na DHCP Server (punkt 1). W oknie po prawej wyświetli się pula adresów IP jaka została przydzielona do rozdysponowania klientom. Wybieramy pulę i klikamy na przycisk Edit (punkt 2). W nowo otwartym oknie Edit DHCP Server wybieramy przycisk Advanced (punkt 3). Po otwarciu kolejnego okna Advanced DHCP Options i po rozwinięciu listy Option Code (punkt 4) należy odszukać pozycję numer 3 po wyborze, której określamy adres IP bramy domyślnej. Całość ustawień zatwierdzamy przyciskiem OK. pl/wp-content/uploads/ustawienia-serwera-dhcp. png" alt="ustawienia serwera DHCP" width="1485" height="1023" srcset="https://www. png 1485w, https://www. pl/wp-content/uploads/ustawienia-serwera-dhcp-300x207. pl/wp-content/uploads/ustawienia-serwera-dhcp-768x529. pl/wp-content/uploads/ustawienia-serwera-dhcp-1024x705. pl/wp-content/uploads/ustawienia-serwera-dhcp-64x44. png 64w" sizes="(max-width: 1485px) 100vw, 1485px"/>

    Kolejnym ustawieniem, które musimy określić to dodanie domyślnej trasy statycznej tak aby była możliwość prowadzenia routingu pomiędzy siecią lokalną a siecią, która ma dostęp do Internetu. Aby określić trasę statyczną wybieramy kartę Configuration a następnie Device Setup. W kroku kolejnym przechodzimy do gałęzi Routing/Static Routes (punkt 1). Po zaznaczeniu gałęzi celem dodania nowego wpisu wybieramy przycisk Add (punkt 2). W nowo otwartym oknie Add Static Route w polu Interface wybieramy interfejs zewnętrzny (punkt 3). Po wyborze interfejsu kolejnym krokiem jest zdefiniowanie adresu sieci. W tym celu w polu Network wybieramy ikonę oznaczoną trzema kropkami i w nowo otwartym oknie Browse Network wybieramy trasę zerową (oznaczoną samymi zerami – punkt 4). Całość zatwierdzamy przyciskiem OK. Po powrocie do okna Add Static Route uzupełnij pole Gateway IP, definiując tym samym adres IP bramy domyślnej (punkt 5).

    Zmianę nazwy interfejsów wraz z konfiguracją sieciową wykonamy na ekranie Interfaces dostępnym po wyborze Configuration/Device Setup

    Ostatnią czynnością jest wykonanie konfiguracji translacji (translację ustawiliśmy w jednym z kroków kreatora lecz nie zawsze to wystarcza). Konfigurację tą wykonamy na ekranie Nat Rules (Configuration/Firewall). Rozpoczynamy od wybrania przycisku Add a następnie Add Network Object Nat Rule W nowo otwartym oknie w polu Name określamy nazwę obiektu, typ reguły ustawiamy na Network oraz definiujemy sieć co do której translacja ma być stosowana (pola IP Address oraz Netmask). Ponieważ wykorzystywaną metodą translacji jest PAT dlatego też w polu Type (sekcja NAT) wybieramy Dynamic PAT (Hide). Pole Translated Addr powinno wskazywać interfejs zewnętrzny. Po całości przeprowadzonych ustawień upewniamy się, że translacja odbywa się pomiędzy siecią wewnętrzną a zewnętrzną CISCO ASA wybierając pozycję Advanced.

    Hosty znajdujące się w sieci wewnętrznej uzyskały możliwość komunikacji z siecią Internet.

    W trybie wiersza poleceń dostęp zdalny do urządzenia skonfigurowaliśmy dla sesji Telnet oraz SSH. Tę samą operację z wykorzystaniem trybu GUI przeprowadzimy na ekranie: Configuration/Device Management/Management Access/ASDM/HTTPS/Telnet/SSH Nową sesję (również włączenie serwera HTTP) wykonamy po kliknięciu na ikonę Add. W nowo otwartym oknie definiujemy typ sesji, interfejs przez który nastąpi połączenie oraz sieć która z danego typu połączenia ma prawo korzystać. W dolnej części ekranu skonfigurujesz ustawienia dodatkowe tj. czas bezczynności, wersję użytych protokołów czy użyte porty.

    Gdy wszystko działa jak należy warto wykonać backup konfiguracji. Opcje odpowiedzialne za wykonanie zapisu kopii ustawień (i ich przywrócenie) odnajdziemy po wybraniu z menu Tools.

    Aby wykonać backup należy kliknąć Backup Configuration. Wybieramy kopię całościową bądź jej składniki określamy sami.

    Po określeniu lokalizacji zapisu, proces tworzenia kopii rozpocznie się po wybraniu przycisku Backup.

    Po skończonym procesie zostanie wyświetlone podsumowanie.

    Utworzoną kopię można przywrócić wybierając Restore Configuration

    Po wskazaniu pliku przywracania określamy, które z ustawień ma zostać przywrócone.

    Tego, kto choć raz utracił swoje dane nie trzeba przekonywać do wykonywania regularnych backupów ale prócz kopii warto jeszcze zadbać o aktualizację oprogramowania. Stosowne opcje odnajdziemy również wybierając z menu opcję Tools.

    Najprostszym sposobem wykonania kopii jest użycie Check for ASA/ASDM Updates. Urządzenie cały proces wykona za Nas – sprawdzi dostępność nowego oprogramowania, pobierze i zainstaluje je. Jednak by móc z tej opcji skorzystać musimy mieć aktywny suport – niezbędne jest logowanie w serwisie producenta.

    Gdy suportu nie posiadamy o stosowne pliki aktualizacyjne musimy zadbać sami.

    Wybierając z menu Tools opcję Upgrade Software from Local Computer przeprowadzimy proces aktualizacji firmware oraz narzędzia Downgrade Software.

    Użycie Cisco ASDM nie jest jedynym sposobem aktualizacji, dlatego też przedstawię dwie jego odsłony: akt pierwszy aktualizacja firmware CISCO ASA przy użyciu ASDM, akt drugi aktualizacja ASDM przy użyciu serwera TFTP. Obie metody można stosować zamiennie.

    Rozpoczynamy od aktualizacji firmware, posiadaną wersję 9. 0(4) zaktualizujemy do 9. 2(2)4. Po wybraniu Upgrade Software from Local Computer w pozycji Image to Upload wskazujemy ASA. Krok następny to wskazanie pliku zawierającego nowe oprogramowanie. Pozycja Flash File System Path zostanie uzupełniona automatycznie. Gdy lokalizacja zapisu Nam odpowiada wybieramy Upload Image.

    Następuje proces kopiowania.

    Aby przy kolejnym uruchomieniu urządzenia plik mógł zostać załadowany – odpowiadamy twierdząco.

    Aby ponownie uruchomić urządzenie z menu Tools wybieramy System Reload.

    Dostępny zestaw opcji pozwala również zaplanować czas ponownego uruchomienia urządzenia.

    Aby zrestartować firewalla CISCO ASA należy wybrać przycisk Details… i na kolejnym ekranie Force Imediate Reload.

    Proces restartu i ładowania nowej wersji firmware można obserwować po zestawieniu połączenia konsolowego.

    Alternatywnym sposobem jest użycie serwera TFTP.

    Procedurę rozpoczynamy od uruchomienia serwera TFTP na komputerze, z którego pliki będą kopiowane. Posłużyć możemy się darmowym narzędziem Tftpd64.

    Po uruchomieniu aplikacji za pomocą przycisku Browse określamy lokalizację plików. Użycie Show Dir wyświetli udostępnione pliki.

    Po zestawieniu sesji z konsolą urządzenia należy wydać polecenia:

    1 – copy tftp: flash: – rozpoczynamy kopiowanie, źródłem plików jest serwer TFTP a miejscem docelowym pamięc flash urządzenia,

    2 – adres IP serwera TFTP (użyto: 10. 10);

    3 – nazwa kopiowanego pliku (kopiowany plik: asdm-771. bin);

    4 – pozostawiamy lokalizację domyślną, zatwierdzamy enterem.

    Rozpoczyna się proces kopiowania. pl/wp-content/uploads/proces-kopiowania-1. png" alt="proces kopiowania" width="661" height="418" srcset="https://www. pl/wp-content/uploads/proces-kopiowania-1-300x190. pl/wp-content/uploads/proces-kopiowania-1-64x40. png 64w" sizes="(max-width: 661px) 100vw, 661px"/>

    Jego efekt możemy również obserwować w oknie aplikacji Tftpd64.

    Po wykonaniu kopiowania za pomocą polecenia dir wyświetlimy listę plików. Aby móc skorzystać z nowej wersji narzędzia ASDM należy wydać polecenie: asdm image <ścieżka_do pliku> W przypadku pliku firmware używamy komendy: boot system <ścieżka_do pliku>

    Nowa wersja oprogramowania ASDM dla CISCO ASA jest dostępna – podczas następnego użycia narzędzia nastąpi jego aktualizacja.

    Aktualizacja obu narzędzi zakończyła się powodzeniem.

    Na koniec jeszcze jedno krótkie zagadnienie.

    Celem diagnostyki stanu połączenia CISCO ASA często wykorzystujemy polecenie ping niestety w konfiguracji domyślnej nie uda Nam się spingować hostów znajdujących się po stronie interfejsu zewnętrznego gdyż ruch ICMP jest blokowany. Aby uzyskać możliwość badania dostępności hostów przy wykorzystaniu protokołu ICMP musimy na czynność tą jawnie zezwolić poprzez definicję listy ACL, która tego typu pakietów nie będzie filtrować.

    Poniżej przykład – test ping hosta wp. pl kończy się niepowodzeniem.

    Zezwólmy zatem na ruch pakietów ICMP tak aby test ten zakończył się sukcesem.

    Ogólna składnia polecenia utworzenia listy ACL jest taka sama jak w przypadku konfigurowania jej na routerze lecz są dwie drobne różnice:

    • polecenie nakazujące utworzenie listy ACL wydajemy w trybie konfiguracji globalnej a nie jak to było w przypadku routerów w trybie konfiguracji interfejsu,
    • nie używamy maski wildcard tylko maskę standardową.

    Aby utworzyć listę ACL wydajemy poniższe polecenia. Pierwsze tworzy listę ACL o numerze 105, która zezwala na ruch ICMP z dowolnego hosta do dowolnego adresu IP pod warunkiem, że jest to odpowiedź na zapytanie ICMP (pakiet: ICMP Echo Request). Polecenie drugie przypisuje utworzoną listę do interfejsu zewnętrznego i ustala jej kierunek działania na wejście.

    Po wydaniu tych dwóch poleceń ponowny test ping kończy się sukcesem.

    Nazywam się Rafał Wielgus, jestem informatykiem oraz międzynarodowym audytorem wiodącym ISO 27001. Świadczę kompleksowe usługi z zakresu bezpieczeństwa teleinformatycznego, wdrażam systemy z rodziny „IT security”, skutecznie nadzoruję RODO, prowadzę szkolenia oraz audyty.

    Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.

    Instrukcje i przepisy Cisco Aip Ssm 10

    Bezpośredni link do pobrania Instrukcje i przepisy Cisco Aip Ssm 10

    Starannie wybrane archiwa oprogramowania - tylko najlepsze! Sprawdzone pod kątem złośliwego oprogramowania, reklam i wirusów

    Ostatnia aktualizacja Instrukcje i przepisy Cisco Aip Ssm 10