Ccsp Snaf Quick Reference

CCSP SNAF Quick Reference

Questa è un breve guida usata per la certificazione CCSP (Cisco Certified Security Professional), l'autore è Andrew Mason.

Section 1: Cisco Firewall and ASA Tecnology

Spiega le differenza tra i vari modelli di ASA e dei moduli opzionali per la sicurezza SSM (Secure Service Module) che si dividono in in questi tipi:

  1. AIP SSM che è la l'ips basato su appliance cisco standalone (un pezzo che si inserisce in più) che a sua volta ha tre modelli
  2. CSC SSM invece è già fornito dentro l'asa (quindi non bisogna spendere ulteriori soldi) ed è una soluzione software di trendmicro.
  3. 4 port Gigabit Ethernet SSM fornisce quattro porte per collegare l'asa.

Section 2: Initial ASA Configuration

CLI and ASDM connection

Sono i due modi di configurare il cisco via linea di comando o attraverso interfaccia grafica, i soliti due mondi a confronto.

CLI

Ci si può connettere via ssh, telnet (in-band connection) o una porta di console (out-band connection).
Il prompt che appare quando ci si collega è

ciscoasa>

e si è in modalità unprivileged se si da il comando
ciscoasa> enable

Si passa a in privilegiata, viene richiesta la password
ciscoasa#

In questa modalità si possono dare i comandi show e debug per fare monitor

ASDM

Configurazione encripted attraverso java e web browser. Per permettere al browser la connessione deve essere abilitata la caratteristica tramite l'interfaccia, questo si può fare tramite CLI.
Quando si ha un asa senza configurazioni si deve collegarsi in cli tramite la connessione seriale ed effettuare per prima cosa l'assegnazione dell'indirizzo ip. Prima andare in configuration mode.

ciscoasa# configuration terminal
ciscoasa(config)# interface vlan1
ciscoasa(config)# ip address 192.168.1.254 255.255.255.0

questa vlan deve essere verso la rete interna dobbiamo nominare la vlan interface come inside interface
Ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default

Quando il comando nameif è lanciato con valore inside, quindi viene settato il livello di sicurezza di default 100 all'interfaccia di vlan.
VLAN1 è configurata adesso come interfaccia con quell'ip. Per default tutte le porta sono in vlan1, dobbiamo dire all'asa quale porta fisica ethernet è la connessione inside. In quest'esempio stiamo usando come interfaccia inside la 0/1, quindi dobbiamo usare il comando seguente per portare su l'ethernet 0/1 perchè di default sono in administrative shutdownd mode (che sembra uno stato delle interfacce quando sono spente).
ciscoasa(config)# interface ethernet0/1
ciscoasa(config-if)# no shutdown

Per visualizzare il risultato lanciamo show interface
ciscoasa# show interface ethernet0/1 
qui da tutti i dati che non ricopio

Quando verifichiamo che l'interfaccia sia up possiamo pingarla da un dispositivo esterno.
Per abilitare una password dobbiamo lanciare il comando
ciscoasa(config)# enable password securepassword

Cambiare securepassword con una password scelta da noi.
A questo punto possiamo fare il running del browser usando https://192.168.1.254 a questo punto avremmo in restituzione una pagina "Page Not Found" message.
Questo perchè l'asa ha un web server ma di default non è abilitato dobbiamo quindi lanciare
ciscoasa(config)# http server enable

Ma anche stavolta se proviamo non avremmo la pagina perchè c'è una denied list dobbiamo abilitarla con
ciscoasa(config)# http 192.168.1.0 255.255.255.0 inside

Con questo comando diciamo che dobbiamo permettere la connessione da tutta la sottorete compresa nell'interfaccia.
Finalmente il nostro browser potrà collegarsi clicchiamo su Run ASDM , chiederà l'autenticazione ma nei passi precedenti non abbiamo indicato nessun utente quindi lasciamo il campo username vuoto e mettiamo la password indicata prima in securepassword.
Abbiamo davanti la nostra interfaccina per modificare i router evviva :-)

Interface Configuration Using CLI and ASDM

I tre aspetti per configurare un interfaccia su un cisco asa sono

  1. ip address e subnet
  2. nome interfaccia
  3. livello di sicurezza dell'interfaccia

Ip address and Subnet Mask

Ogni interfaccia richiede il proprio ip address che esiste in una differente subnet. L'ASA può operare in due modalità routed e trasparent per questi esempi useremo la routed (il default). La modalità trasparente è coperta nella sezione 4 di questa quick reference guide.
Abbiamo già applicato l'ip 192.168.1.254/24 all'interfaccia interna dell'ASA. Configuriamo l'ip address 10.0.0.1/24 all'interfaccia interna .
Per assegnare l'indirizzo usiamo il comando ip address

ciscoasa(config)# interface ethernet0/0 
ciscoasa(config-if)# ip address 10.0.0.1 255.255.255.0

Nei nostri esempi stiamo usando un ASA 5505 e assegniamo l'ip con questo comando all'interfaccia VLAN1

ciscoasa(config)# interface vlan1
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0

Interface name

All'interfaccia di un asa dobbiamo dare un nome. Questi nomi sono usati in altri campi di configurazione, quali il nat e le acl. Alcuni esempi sono outside, inside, dmz.
Per dare all'interfaccia ethernet0/1 il nome inside diamo il seguente comando

ciscoasa(config)# interface ethernet0/1 
ciscoasa(config-if)# nameif inside

nel nostro esempio vogliamo che l'interfaccia vlan1 abbia il nome inside
ciscoasa(config)# interface vlan1 
ciscoasa(config-if)# nameif inside

Interface Security Level

Per ridirigere i flussi di traffico l'asa utilizza il livello di sicurezza delle sue interfacce. Ogni interfaccia deve avere un livello di sicurezza. Questo è originato fra una tecnologia PIX chiamata Adaptive Security Algotithm (da non confondere con ASA)
Ci sono due importanti fattori.

  • il traffico da una interfaccia con livello più alto a una con livello più basso è sempre permesso. Questo è classificato come outbound traffic. La configurazione è richiesta per permettere il traffico ma questo funzionerà senza l'uso delle ACL.
  • il traffico da una interfaccia con livello di sicurezza più basso a una con livello più altro è per default disabilitato. Questo è chiamato inbound traffic. L'uso delle acl è richiesto per permettere questo traffico.

Per default l'interfaccia di outside ha sempre un security level di 0 e quelle di interna di 100. Che sono il livello minimo (0) e il massimo (100) permesso. Queste due interfacce sono piazzate per default agli estremi della scala, altre interfacce come la dmz stanno nel mezzo , questa ha livello di sicurezza 50 per default.
Ecco i comandi per assegnare il livello di sicurezza.

ciscoasa(config)# interface ethernet0/1 
ciscoasa(config-if)# security-level 100

Nel nostro esempio stiamo usando un asa 5505 e abbiamo assegnato il nome della interfaccia inside alla vlan1. Questa configurazione significa che l'interfaccia ha un livello di sicurezza 100. Ecco il comando
ciscoasa(config)# interface vlan1 
ciscoasa(config-if)# security-level 100

ASDM Interface Configuration

Per asdm andare in Configuration dalla toolbar e selezionare Device Setup e poi interfacess. Si possono fare tutte le operazioni che abbiamo settato prima a linea di comando ma in maniera più semplice e intuitiva. Certo per accedervi vuol dire che già hai abilitato l'http sul quell'interfaccia a linea di comando.

NAT

Negli asa il nat è richiesto quando il flusso di traffico da una interfaccia a livello di sicurezza più basso a una con livello di sicurezza più alto. Per esempio da outside che ha livello 0 a inside che ha livello 100.
Il contrario invece da una interfaccia con flusso alto a una con flusso basso non è richiesto il nat.

Simple NAT configuration

Salvo diversa indicazione, il contenuto di questa pagina è sotto licenza Creative Commons Attribution-ShareAlike 3.0 License