Задача: базовая конфигурация Cisco ASA в качестве подготовки для последующей индивидуальной настройки.
Подключаемся к устройству:
ASA> enable
Настраиваем подсистему времени (очень желательно проделать это в первую очередь, хотя бы для корректной генерации ключей доступа SSH):
!* Устанавливаем текущее время вручную в том случае, если NTP серверы недоступны
ASA# clock set 12:37:30 2 Feb 2010
ASA# configure terminal
!* Отключаем переход между зимним и летним временем
ASA(config)# no clock summer-time
!* Указываем на наши NTP серверы
ASA(config)# ntp server ip.ntp0.server prefer
ASA(config)# ntp server ip.ntp1.server
ASA# clock set 12:37:30 2 Feb 2010
ASA# configure terminal
!* Отключаем переход между зимним и летним временем
ASA(config)# no clock summer-time
!* Указываем на наши NTP серверы
ASA(config)# ntp server ip.ntp0.server prefer
ASA(config)# ntp server ip.ntp1.server
Для начала определим символические имена интерфейсов, в дальнейшем они будут использованы в списках управления доступом. Мы располагаем четырьмя физическими интерфейсами FastEthernet 10/100. Предположим, наша конфигурация будет содержать в себе подключение к двум провайдерам (основному и резервному), подключение DMZ и выход во внутреннюю сеть:
ASA(config)# interface Ethernet0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# exit
ASA(config)# interface Ethernet0/1
ASA(config-if)# nameif backup
ASA(config-if)# security-level 1
ASA(config-if)# exit
ASA(config)# interface Ethernet0/2
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50
ASA(config-if)# exit
ASA(config)# interface Ethernet0/3
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# exit
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# exit
ASA(config)# interface Ethernet0/1
ASA(config-if)# nameif backup
ASA(config-if)# security-level 1
ASA(config-if)# exit
ASA(config)# interface Ethernet0/2
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50
ASA(config-if)# exit
ASA(config)# interface Ethernet0/3
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# exit
Настраиваем подсистему журналирования событий для отправки сведений на удалённый сервер Unix Syslog:
ASA(config)# logging facility 23
ASA(config)# logging trap errors
ASA(config)# logging host inside ip.syslog0.server
ASA(config)# logging host inside ip.syslog1.server
ASA(config)# logging enable
ASA(config)# logging trap errors
ASA(config)# logging host inside ip.syslog0.server
ASA(config)# logging host inside ip.syslog1.server
ASA(config)# logging enable
Настраиваем SNMP для сбора статистики с устройства:
!* Описываем базовые параметры (ключевое слово, уровень доступа, "лист доступа")
ASA(config)# snmp-server community password
ASA(config)# snmp-server host inside ip.snmp0.server community password
ASA(config)# snmp-server host inside ip.snmp1.server community password
ASA(config)# snmp-server enable
!* Описываем необязательные параметры
ASA(config)# no snmp-server location
ASA(config)# no snmp-server contact
ASA(config)# snmp-server community password
ASA(config)# snmp-server host inside ip.snmp0.server community password
ASA(config)# snmp-server host inside ip.snmp1.server community password
ASA(config)# snmp-server enable
!* Описываем необязательные параметры
ASA(config)# no snmp-server location
ASA(config)# no snmp-server contact
Устанавливаем имя, доменное имя и параметры разрешения имён:
ASA(config)# hostname asa0
ASA(config)# domain-name domain.name
ASA(config)# dns domain-lookup inside
ASA(config)# dns name-server ip.ns0.server
ASA(config)# dns name-server ip.ns1.server
ASA(config)# domain-name domain.name
ASA(config)# dns domain-lookup inside
ASA(config)# dns name-server ip.ns0.server
ASA(config)# dns name-server ip.ns1.server
Генерируем RSA ключи для подключения к устройству по протоколу SSH и описываем параметры работы транспорта:
!* Проверяем, нет ли у нас уже ключей
ASA# show crypto key mypubkey rsa
!* Удаляем ненужные ключи
ASA(config)# crypto key zeroize rsa key.name
!* Генерируем RSA ключ (в процессе он будет именован как: <Default-RSA-Key>) общий для всех функций устройства
ASA(config)# crypto key generate rsa modulus 1024
!* Указываем применять только SSH второй версии
ASA(config)# ssh version 2
!* Определяем разрешения к подключению (нам совсем ни к чему непрекращающийся подбор пароля с внешнего подключения)
ASA(config)# ssh 192.168.0.0 255.255.0.0 inside
ASA(config)# ssh 192.168.0.0 255.255.0.0 management
ASA# show crypto key mypubkey rsa
!* Удаляем ненужные ключи
ASA(config)# crypto key zeroize rsa key.name
!* Генерируем RSA ключ (в процессе он будет именован как: <Default-RSA-Key>) общий для всех функций устройства
ASA(config)# crypto key generate rsa modulus 1024
!* Указываем применять только SSH второй версии
ASA(config)# ssh version 2
!* Определяем разрешения к подключению (нам совсем ни к чему непрекращающийся подбор пароля с внешнего подключения)
ASA(config)# ssh 192.168.0.0 255.255.0.0 inside
ASA(config)# ssh 192.168.0.0 255.255.0.0 management
Устанавливаем параметры аутентификации:
!* Указываем на то, что данные о пользователях нужно брать из локальной базы устройства
ASA(config)# aaa authentication ssh console LOCAL
!* Устанавливаем время отключения сессий
ASA(config)# ssh timeout 60
ASA(config)# console timeout 0
!* Устанавливаем пароль "cisco" доступа к устройству
ASA(config)# passwd ciscopasswd
!* Активируем проверку доступа к привилегированному уровню по паролю "cisco"
ASA(config)# enable password ciscoenable
!* Регистрируем пользователя "cisco" c паролем "cisco"
ASA(config)# username cisco password cisco privilege 15
ASA(config)# aaa authentication ssh console LOCAL
!* Устанавливаем время отключения сессий
ASA(config)# ssh timeout 60
ASA(config)# console timeout 0
!* Устанавливаем пароль "cisco" доступа к устройству
ASA(config)# passwd ciscopasswd
!* Активируем проверку доступа к привилегированному уровню по паролю "cisco"
ASA(config)# enable password ciscoenable
!* Регистрируем пользователя "cisco" c паролем "cisco"
ASA(config)# username cisco password cisco privilege 15
Управление устройством с помощью встроенного Web интерфейса (ASDM) это, может быть, хорошо, но не для нас. Лишний сервис в редко обслуживаемой схеме - уязвимость, даже не потенциальная. Потому - отключаем сервис окончательно и бесповоротно:
ASA(config)# no http server enable
ASA(config)# no asdm image disk0:/asdm-508.bin
ASA(config)# no http 192.168.1.0 255.255.255.0 management
ASA(config)# no tftp-server
ASA(config)# no asdm image disk0:/asdm-508.bin
ASA(config)# no http 192.168.1.0 255.255.255.0 management
ASA(config)# no tftp-server
По умолчанию трафик невозможен между интерфейсами с одинаковыми уровнями безопасности. Воспользуйтесь командой same-security-traffic, чтобы это изменить, например, если вы не хотите использовать трансляцию адресов (NAT).
Если уже в работе устройства, вы изменили уровень безопасности интерфейса и не хотите ждать, пока существующие соединения закроются, используйте команду clear xlate, очищающую таблицу трансляций (translation table) Однако, в этом случае все существующие соединения будут сброшены.
ASA(config)# exit
ASA# copy running-config startup-config
ASA# copy running-config startup-config
20 декабря 2010 в 12:34
20 декабря 2010 в 20:17