Имеется один реальный ip (1.1.1.1), три внутренние подсети 192.168.2.0/24 192.168.3.0/24 172.16.0.0/24. Так же имеется дама из бухгалтерии у которой должен работать клиет-банк через наш NAT. SSM-CSC-10 модуль подключен патч-кордом в порт асы f0/3.
Немного про ASA 5510
Основной принцип настройки интерфейсов ASA сводится к назначению security-level от 0 до 100.
0 ставится на незащищённую сеть, как правило внешнюю.
100 ставится на внутреннюю сеть которую нам надо защитить.
Для того чтобы пакет прошел из интерфейса где security-level =0 в интерфейс где security-level =100 нужно создать разрешающее правило в access-list. Нам это понадобиться когда мы будем прокидывать во «внутрь» порт через NAT к нашему клиет-банку в бухгалтерию, а так же для ssh доступа к секурити модулю.
Сразу скажу что у asa 5510 нет своего telnet клиента и это весьма печально. Но выход есть.
Сводится все к тому что в модуле ASA-SSM-CSC-10 стоит наш любимый Linux, поэтому нам надо получить root консоль модуля, а оттуда уже telnet.
Логин пароль по умолчанию на ASA-SSM-CSC-10 модуль cisco Cisco.
Подключение к секьюрити модулю:
Вот так выглядит мастер настроек, все интуитивно понятно. Вам надо будет активировать root аккаунт и прописать ip модулю (192.168.1.1/24) и default route 192.168.1.254
Еще несколько полезных команд для работы с модулем:
Далее нам надо будет добавить правило в access-list для tcp порта 5555 и прописать PAT (NAT) для доступа по ssh к нашему модулю. Эту работу оставляю Вам .(Ниже будут аналогичные примеры).
Настройка интерфейсов ASA
Внешний интерфейс:
Внутренняя wi-fi сеть VLAN 110:
Сеть бухгалтерии Vlan 120:
Менеджмент интерфейс для управления свичами и wi-fi Vlan 999:
Интерфейс смотрящий в ssm модуль:
Настройка default route:
Настройка DNS:
Настройка NAT:
где 100 это группа NAT, всего групп 2147483647. Не забываем что в одной группе помещается всего 65536 соединений, если у вас в реальном времени натится больше 1000 “абонентов “, то целесообразно разнести части абонентов в разные группы NAT.
Настройка accsess-list:
Вешаем наш accsess-list на внешний интерфейс:
Заворачиваем www и почту на проверку в секьюрити модуль:
Настроим PAT для доступа через веб интерфейс к секьюрити модулю, по умолчанию порт 8443:
После этого можно будет попасть из вне на модуль через браузер https://внешний_айпи:8443
И наконец разберемся с нашим клиент-банком.
Тут будет два случая:
1) Клиент-банк работает через vpn соединение;
2) Клиент-банк работает по определенному tcp порту, в нашем случае это порт 7521.
Для первого случая воспользуемся inspect политикой для pptp протокола. Очень удобная и необходимая штука. Это аналогично модулю insmod ip_nat_pptp для iptables в linux.
В итоге после применения этой политики asa будет пропускать vpn соединение в “мир”.
Теперь второй случай с прозрачным пробросом tcp порта 7521 к бухгалтеру на машину.
Настроим PAT:
Настроим DHCP server для бухгалтерии
Настроим DHCP server для wi-fi:
Сохранимся
Конец
Всем спасибо за внимание! Надеюсь расписал понятно.
Немного про ASA 5510
Основной принцип настройки интерфейсов ASA сводится к назначению security-level от 0 до 100.
0 ставится на незащищённую сеть, как правило внешнюю.
100 ставится на внутреннюю сеть которую нам надо защитить.
Для того чтобы пакет прошел из интерфейса где security-level =0 в интерфейс где security-level =100 нужно создать разрешающее правило в access-list. Нам это понадобиться когда мы будем прокидывать во «внутрь» порт через NAT к нашему клиет-банку в бухгалтерию, а так же для ssh доступа к секурити модулю.
Сразу скажу что у asa 5510 нет своего telnet клиента и это весьма печально. Но выход есть.
Сводится все к тому что в модуле ASA-SSM-CSC-10 стоит наш любимый Linux, поэтому нам надо получить root консоль модуля, а оттуда уже telnet.
Логин пароль по умолчанию на ASA-SSM-CSC-10 модуль cisco Cisco.
- Активируем root аккаунт в модуле
- Заворачиваем NAT-ом tcp порт, например 5555, на ssh порт модуля (В нашем примере у модуля будет ip 192.168.1.1 и порт ssh 22)
- Разрешаем tcp порт 5555 в access-list
- Подключаемся извне по ssh на порт 5555. И вуаля попадаем в bash консоль модуля.
- Дальше заветная команда telnet
Подключение к секьюрити модулю:
asa5510# conf t asa5510(config)# session 1
Вот так выглядит мастер настроек, все интуитивно понятно. Вам надо будет активировать root аккаунт и прописать ip модулю (192.168.1.1/24) и default route 192.168.1.254
asa5510(config)# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: cisco Password: Trend Micro InterScan for Cisco CSC SSM Setup Main Menu --------------------------------------------------------------------- 1. Network Settings 2. Date/Time Settings 3. Product Information 4. Service Status 5. Password Management 6. Restore Factory Default Settings 7. Troubleshooting Tools 8. Reset Management Port Access Control List 9. Ping 10. Exit ... Enter a number from [1-10]:
Еще несколько полезных команд для работы с модулем:
asa5510# show module asa5510(config)# hw-module module 1 ? exec mode commands/options: password-reset Reset the CLI password on the module recover Configure recovery of this module reload Reload the module reset Reset the module shutdown Shut down the module
Далее нам надо будет добавить правило в access-list для tcp порта 5555 и прописать PAT (NAT) для доступа по ssh к нашему модулю. Эту работу оставляю Вам .(Ниже будут аналогичные примеры).
Настройка интерфейсов ASA
Внешний интерфейс:
asa5510# conf t asa5510(config)# interface Ethernet0/0 asa5510(config-if)# security-level 0 asa5510(config-if)# nameif outside asa5510(config-if)# ip address 1.1.1.1 255.255.255.0
Внутренняя wi-fi сеть VLAN 110:
asa5510# conf t asa5510(config)# Ethernet0/1.110 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif wi-fi asa5510(config-if)# ip address 192.168.2.254 255.255.255.0
Сеть бухгалтерии Vlan 120:
asa5510# conf t asa5510(config)# Ethernet0/1.120 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif byx asa5510(config-if)# ip address 192.168.3.254 255.255.255.0
Менеджмент интерфейс для управления свичами и wi-fi Vlan 999:
asa5510# conf t asa5510(config)# Ethernet0/1.999 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif mng asa5510(config-if)# ip address 172.16.0.254 255.255.255.0
Интерфейс смотрящий в ssm модуль:
asa5510# conf t asa5510(config)# Ethernet0/3 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif antivirus asa5510(config-if)# ip address 192.168.1.254 255.255.255.0
Настройка default route:
asa5510# conf t asa5510(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
Настройка DNS:
asa5510(config)# dhcpd dns 8.8.8.8 178.151.44.131
Настройка NAT:
asa5510# conf t asa5510(config)# nat-control asa5510(config)# global (outside) 100 interface asa5510(config)# nat (wi-fi) 100 192.168.2.0 255.255.255.0 asa5510(config)# nat (byx) 100 192.168.3.0 255.255.255.0 asa5510(config)# nat (antivirus) 100 192.168.1.1 255.255.255.255
где 100 это группа NAT, всего групп 2147483647. Не забываем что в одной группе помещается всего 65536 соединений, если у вас в реальном времени натится больше 1000 “абонентов “, то целесообразно разнести части абонентов в разные группы NAT.
Настройка accsess-list:
asa5510(config)# access-list outside_access_in extended permit tcp any any eq ssh asa5510(config)# access-list outside_access_in extended permit tcp any any eq 5555 asa5510(config)# access-list outside_access_in extended permit tcp any any eq https asa5510(config)# access-list outside_access_in extended permit tcp any any eq 8443 asa5510(config)# access-list outside_access_in extended permit tcp any any eq bgp asa5510(config)# access-list outside_access_in extended permit tcp any any eq pptp asa5510(config)# access-list outside_access_in extended permit tcp any any eq 7521 asa5510(config)# access-list outside_access_in extended permit tcp host 159.224.X.X any eq 3006 asa5510(config)# access-list outside_access_in extended deny tcp any any eq 3006 log
Вешаем наш accsess-list на внешний интерфейс:
asa5510(config)# access-group outside_access_in in interface outside
Заворачиваем www и почту на проверку в секьюрити модуль:
asa5510(config)# access-list csc-acl remark Exclude CSC module traffic from being scanned asa5510(config)# access-list csc-acl extended permit tcp any any eq www asa5510(config)# access-list csc-acl remark Scan Web & Mail traffic asa5510(config)# class-map csc-class asa5510(config-cmap)# match access-list csc-acl
Настроим PAT для доступа через веб интерфейс к секьюрити модулю, по умолчанию порт 8443:
asa5510(config)# static (antivirus,outside) tcp interface 8443 192.168.1.1 8443 netmask 255.255.255.255
После этого можно будет попасть из вне на модуль через браузер https://внешний_айпи:8443
И наконец разберемся с нашим клиент-банком.
Тут будет два случая:
1) Клиент-банк работает через vpn соединение;
2) Клиент-банк работает по определенному tcp порту, в нашем случае это порт 7521.
Для первого случая воспользуемся inspect политикой для pptp протокола. Очень удобная и необходимая штука. Это аналогично модулю insmod ip_nat_pptp для iptables в linux.
asa5510(config)# policy-map global_policy asa5510(config-pmap)# class inspection_default asa5510(config-pmap-c)# inspect pptp
В итоге после применения этой политики asa будет пропускать vpn соединение в “мир”.
Теперь второй случай с прозрачным пробросом tcp порта 7521 к бухгалтеру на машину.
Настроим PAT:
static (byx,outside) tcp interface 7521 192.168.3.5 7521 netmask 255.255.255.255
Настроим DHCP server для бухгалтерии
asa5510(config)# dhcpd address 192.168.3.1-192.168.3.253 byx asa5510(config)# dhcpd enable byx
Настроим DHCP server для wi-fi:
asa5510(config)# dhcpd address 192.168.2.1-192.168.2.253 wi-fi asa5510(config)# dhcpd enable wi-fi
Сохранимся
asa5510(config)#wr
Конец
Всем спасибо за внимание! Надеюсь расписал понятно.
