Настройка cisco ASA 5510 + security module ASA-SSM-CSC-10 + NAT

Имеется один реальный ip (1.1.1.1), три внутренние подсети 192.168.2.0/24 192.168.3.0/24 172.16.0.0/24. Так же имеется дама из бухгалтерии у которой должен работать клиет-банк через наш NAT. SSM-CSC-10 модуль подключен патч-кордом в порт асы f0/3.

Немного про ASA 5510
Основной принцип настройки интерфейсов ASA сводится к назначению security-level от 0 до 100.
0 ставится на незащищённую сеть, как правило внешнюю.
100 ставится на внутреннюю сеть которую нам надо защитить.

Для того чтобы пакет прошел из интерфейса где security-level =0 в интерфейс где security-level =100 нужно создать разрешающее правило в access-list. Нам это понадобиться когда мы будем прокидывать во «внутрь» порт через NAT к нашему клиет-банку в бухгалтерию, а так же для ssh доступа к секурити модулю.

Сразу скажу что у asa 5510 нет своего telnet клиента и это весьма печально. Но выход есть.
Сводится все к тому что в модуле ASA-SSM-CSC-10 стоит наш любимый Linux, поэтому нам надо получить root консоль модуля, а оттуда уже telnet.
Логин пароль по умолчанию на ASA-SSM-CSC-10 модуль cisco Cisco.
  • Активируем root аккаунт в модуле
  • Заворачиваем NAT-ом tcp порт, например 5555, на ssh порт модуля (В нашем примере у модуля будет ip 192.168.1.1 и порт ssh 22)
  • Разрешаем tcp порт 5555 в access-list
  • Подключаемся извне по ssh на порт 5555. И вуаля попадаем в bash консоль модуля.
  • Дальше заветная команда telnet


Подключение к секьюрити модулю:

asa5510# conf t
asa5510(config)# session 1


Вот так выглядит мастер настроек, все интуитивно понятно. Вам надо будет активировать root аккаунт и прописать ip модулю (192.168.1.1/24) и default route 192.168.1.254

asa5510(config)# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.

login: cisco
Password:


     Trend Micro InterScan for Cisco CSC SSM Setup Main Menu
---------------------------------------------------------------------

1. Network Settings
2. Date/Time Settings
3. Product Information
4. Service Status
5. Password Management
6. Restore Factory Default Settings
7. Troubleshooting Tools
8. Reset Management Port Access Control List
9. Ping
10. Exit ...

Enter a number from [1-10]:


Еще несколько полезных команд для работы с модулем:

asa5510# show  module
asa5510(config)# hw-module module 1 ?
exec mode commands/options:
  password-reset  Reset the CLI password on the module
  recover         Configure recovery of this module
  reload          Reload the module
  reset           Reset the module
  shutdown        Shut down the module


Далее нам надо будет добавить правило в access-list для tcp порта 5555 и прописать PAT (NAT) для доступа по ssh к нашему модулю. Эту работу оставляю Вам .(Ниже будут аналогичные примеры).

Настройка интерфейсов ASA
Внешний интерфейс:

asa5510# conf t
asa5510(config)# interface Ethernet0/0
asa5510(config-if)# security-level 0
asa5510(config-if)# nameif outside
asa5510(config-if)# ip address 1.1.1.1 255.255.255.0


Внутренняя wi-fi сеть VLAN 110:

asa5510# conf t
asa5510(config)# Ethernet0/1.110
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif wi-fi
asa5510(config-if)# ip address 192.168.2.254 255.255.255.0


Сеть бухгалтерии Vlan 120:

asa5510# conf t
asa5510(config)# Ethernet0/1.120
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif byx
asa5510(config-if)# ip address 192.168.3.254 255.255.255.0


Менеджмент интерфейс для управления свичами и wi-fi Vlan 999:
asa5510# conf t
asa5510(config)# Ethernet0/1.999
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif mng
asa5510(config-if)# ip address 172.16.0.254 255.255.255.0


Интерфейс смотрящий в ssm модуль:

asa5510# conf t
asa5510(config)# Ethernet0/3
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif antivirus
asa5510(config-if)# ip address 192.168.1.254 255.255.255.0


Настройка default route:

asa5510# conf t
asa5510(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.2 1

Настройка DNS:

asa5510(config)# dhcpd dns 8.8.8.8 178.151.44.131


Настройка NAT:

asa5510# conf t
asa5510(config)# nat-control
asa5510(config)# global (outside) 100 interface
asa5510(config)# nat (wi-fi) 100 192.168.2.0 255.255.255.0
asa5510(config)# nat (byx) 100 192.168.3.0 255.255.255.0
asa5510(config)# nat (antivirus) 100 192.168.1.1 255.255.255.255


где 100 это группа NAT, всего групп 2147483647. Не забываем что в одной группе помещается всего 65536 соединений, если у вас в реальном времени натится больше 1000 “абонентов “, то целесообразно разнести части абонентов в разные группы NAT.

Настройка accsess-list:

asa5510(config)# access-list outside_access_in extended permit tcp any any eq ssh
asa5510(config)# access-list outside_access_in extended permit tcp any any eq 5555
asa5510(config)# access-list outside_access_in extended permit tcp any any eq https
asa5510(config)# access-list outside_access_in extended permit tcp any any eq 8443
asa5510(config)# access-list outside_access_in extended permit tcp any any eq bgp
asa5510(config)# access-list outside_access_in extended permit tcp any any eq pptp
asa5510(config)# access-list outside_access_in extended permit tcp any any eq 7521
asa5510(config)# access-list outside_access_in extended permit tcp host 159.224.X.X any eq 3006
asa5510(config)# access-list outside_access_in extended deny tcp any any eq 3006 log


Вешаем наш accsess-list на внешний интерфейс:

asa5510(config)# access-group outside_access_in in interface outside


Заворачиваем www и почту на проверку в секьюрити модуль:

asa5510(config)# access-list csc-acl remark Exclude CSC module traffic from being scanned
asa5510(config)# access-list csc-acl extended permit tcp any any eq www
asa5510(config)# access-list csc-acl remark Scan Web & Mail traffic
asa5510(config)# class-map csc-class
asa5510(config-cmap)# match access-list csc-acl


Настроим PAT для доступа через веб интерфейс к секьюрити модулю, по умолчанию порт 8443:

asa5510(config)# static (antivirus,outside) tcp interface 8443 192.168.1.1 8443 netmask 255.255.255.255 


После этого можно будет попасть из вне на модуль через браузер https://внешний_айпи:8443

И наконец разберемся с нашим клиент-банком.
Тут будет два случая:
1) Клиент-банк работает через vpn соединение;
2) Клиент-банк работает по определенному tcp порту, в нашем случае это порт 7521.

Для первого случая воспользуемся inspect политикой для pptp протокола. Очень удобная и необходимая штука. Это аналогично модулю insmod ip_nat_pptp для iptables в linux.

asa5510(config)# policy-map global_policy
asa5510(config-pmap)#  class inspection_default
asa5510(config-pmap-c)# inspect pptp


В итоге после применения этой политики asa будет пропускать vpn соединение в “мир”.

Теперь второй случай с прозрачным пробросом tcp порта 7521 к бухгалтеру на машину.

Настроим PAT:

static (byx,outside) tcp interface 7521 192.168.3.5 7521 netmask 255.255.255.255


Настроим DHCP server для бухгалтерии
asa5510(config)# dhcpd address 192.168.3.1-192.168.3.253 byx
asa5510(config)# dhcpd enable byx


Настроим DHCP server для wi-fi:

asa5510(config)# dhcpd address 192.168.2.1-192.168.2.253 wi-fi
asa5510(config)# dhcpd enable wi-fi


Сохранимся
asa5510(config)#wr


Конец
Всем спасибо за внимание! Надеюсь расписал понятно.
Поделиться публикацией
Комментарии 14
    0
    Спасибо.
      +1
      А расскажите-ка поподробнее зачем в принципе нужен модуль ASA-SSM-CSC-10 и как он применялся при решении описанной задачи
        0
        В данном примере модуль проверяет весь www и почтовый трафик антивирусом. Trend micro
        А вообще из возможностей
        Virus Scan Engine
        Spyware/Grayware pattern
        PhishTrap pattern
        Anti-spam rules and engine
        Anti-spam rules
        Anti-spam engine
        IntelliTrap Pattern
        IntelliTrap Exception Pattern
        и тд
        Так же имеется в нем набор политик (порно, реклама, Education и тд) которые можно запрещать или разрешать «массово».
        Возможностей много, для этого надо наверное отдельный пост с описанием модуля сделать.
        Конечно же для торрентов он бессилен, но основной поток вирусов из почты и www он ловит, а это не заменимая помощь на каком-нибудь большом предприятии
          0
          И весь входящий трафик будет перемалываться этим модулем? Этож в application уровень надо лезть каждого пакета. Как он по производительности?
            0
            но основной поток вирусов из почты и www он ловит, а это не заменимая помощь на каком-нибудь большом предприятии

            CSC-SSM — неплохое all-in-one решение, но вот только на самом деле как раз для маленьких предприятий :) На больших наружу выпускают через решения Check Point, Blue Coat, MS FF TMG и так далее, а роль антиспама всегда отделена от роли прокси.

            Прозрачная фильтрация веб- и почтового трафика — абсолютная необходимость в компании любого размера. И, как правило, блокирование URL по категориям «malicious», «phishing» и тому подобным отсеивает куда больше зловредов, чем любой антивирус.
            0
            Так и есть, задействован 7 уровень, там стоит прокси и на него заворачивается трафик потом делает свое дело антивирус. Проц. стоит celeron, по моему 2,5 Ггц или 1,5. Оперативки 1 гиг. В общем тянет 250 пользователей, при этом проц загружен наполовину. Временами загрузка поднимается до 90 процентов, но это очень редко
              0
              у asa 5510 нет своего telnet клиента и это весьма печально.

              Ну почему же? Это вполне секьюрно — тот, кто умудрился похакать асу, не сможет прямо с нее прыгать во внутреннюю сеть :)
              asa5510(config)# nat-control

              А вот тут не понял. Зачем? NAT-control велит транслировать все проходящие через асу коннекты, но у вас есть глобал только для outside.
              Ну и в последних версиях ASA OS NAT-control вообще удалили, нету его больше.
              (в принципе, там и синтаксис NAT радикально поменяли, написанное вами справедливо лишь для <=8.2)
                0
                Да, забыл написать что этот пример для версии
                Cisco Adaptive Security Appliance Software Version 7.2(4)
                Device Manager Version 5.2(4)
                  0
                  «7.2(4)» — как все печально… С тех пор много чего вкусного добавили.
                    0
                    Согласен что печально, но такое еще стоит.
                0
                На самом деле я поражен что эта тема за пол дня вышла в топ у гугл по запросам asa 5510, вытеснив всяких рекламщиков. Возьму себе на вооружение. А то обычно трудно найти мануалы для конфигурации чего-то не популярного
                  0
                  это ASA то непопулярная?
                    0
                    Ну в мелких конторах железки такого класса в СНГ ставят очень мало — сама железка не дешевая — в Украине в районе 40 тысяч гривен (~156k рублей) и это еще в зависимости от версии/прошивки/функционала, так еще и приходящий админ за час настройки захочет немаленьких денег а постоянного смысла держать нет.

                    Я такие железки видел только в конторах в несколько сотен человек, где стоимость такой циски отдыхает рядом со стоимостью, например операторской БС.
                  0
                  ASA 5510 стоит сейчас порядка 65 килорублей, но для небольших контор существует ASA 5505, которая стоит вообще от 10 килорублей. Конфигурятся они одинаково, прошивки одинаковые. Железки весьма популярные и документации более чем хватает.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое