Настройка cisco ASA 5510 + security module ASA-SSM-CSC-10 + NAT

в 13:59, , рубрики: Cisco, системное администрирование

Имеется один реальный ip (1.1.1.1), три внутренние подсети 192.168.2.0/24 192.168.3.0/24 172.16.0.0/24. Так же имеется дама из бухгалтерии у которой должен работать клиет-банк через наш NAT. SSM-CSC-10 модуль подключен патч-кордом в порт асы f0/3.

Немного про ASA 5510
Основной принцип настройки интерфейсов ASA сводится к назначению security-level от 0 до 100.
0 ставится на незащищённую сеть, как правило внешнюю.
100 ставится на внутреннюю сеть которую нам надо защитить.

Для того чтобы пакет прошел из интерфейса где security-level =0 в интерфейс где security-level =100 нужно создать разрешающее правило в access-list. Нам это понадобиться когда мы будем прокидывать во «внутрь» порт через NAT к нашему клиет-банку в бухгалтерию, а так же для ssh доступа к секурити модулю.

Сразу скажу что у asa 5510 нет своего telnet клиента и это весьма печально. Но выход есть.
Сводится все к тому что в модуле ASA-SSM-CSC-10 стоит наш любимый Linux, поэтому нам надо получить root консоль модуля, а оттуда уже telnet.
Логин пароль по умолчанию на ASA-SSM-CSC-10 модуль cisco Cisco.

  • Активируем root аккаунт в модуле
  • Заворачиваем NAT-ом tcp порт, например 5555, на ssh порт модуля (В нашем примере у модуля будет ip 192.168.1.1 и порт ssh 22)
  • Разрешаем tcp порт 5555 в access-list
  • Подключаемся извне по ssh на порт 5555. И вуаля попадаем в bash консоль модуля.
  • Дальше заветная команда telnet


Подключение к секьюрити модулю:

asa5510# conf t
asa5510(config)# session 1

Вот так выглядит мастер настроек, все интуитивно понятно. Вам надо будет активировать root аккаунт и прописать ip модулю (192.168.1.1/24) и default route 192.168.1.254

asa5510(config)# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.

login: cisco
Password:


     Trend Micro InterScan for Cisco CSC SSM Setup Main Menu
---------------------------------------------------------------------

1. Network Settings
2. Date/Time Settings
3. Product Information
4. Service Status
5. Password Management
6. Restore Factory Default Settings
7. Troubleshooting Tools
8. Reset Management Port Access Control List
9. Ping
10. Exit ...

Enter a number from [1-10]:

Еще несколько полезных команд для работы с модулем:

asa5510# show  module
asa5510(config)# hw-module module 1 ?
exec mode commands/options:
  password-reset  Reset the CLI password on the module
  recover         Configure recovery of this module
  reload          Reload the module
  reset           Reset the module
  shutdown        Shut down the module

Далее нам надо будет добавить правило в access-list для tcp порта 5555 и прописать PAT (NAT) для доступа по ssh к нашему модулю. Эту работу оставляю Вам .(Ниже будут аналогичные примеры).

Настройка интерфейсов ASA
Внешний интерфейс:

asa5510# conf t
asa5510(config)# interface Ethernet0/0
asa5510(config-if)# security-level 0
asa5510(config-if)# nameif outside
asa5510(config-if)# ip address 1.1.1.1 255.255.255.0

Внутренняя wi-fi сеть VLAN 110:

asa5510# conf t
asa5510(config)# Ethernet0/1.110
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif wi-fi
asa5510(config-if)# ip address 192.168.2.254 255.255.255.0

Сеть бухгалтерии Vlan 120:

asa5510# conf t
asa5510(config)# Ethernet0/1.120
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif byx
asa5510(config-if)# ip address 192.168.3.254 255.255.255.0

Менеджмент интерфейс для управления свичами и wi-fi Vlan 999:

asa5510# conf t
asa5510(config)# Ethernet0/1.999
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif mng
asa5510(config-if)# ip address 172.16.0.254 255.255.255.0

Интерфейс смотрящий в ssm модуль:

asa5510# conf t
asa5510(config)# Ethernet0/3
asa5510(config-if)# security-level 100
asa5510(config-if)# nameif antivirus
asa5510(config-if)# ip address 192.168.1.254 255.255.255.0

Настройка default route:

asa5510# conf t
asa5510(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.2 1

Настройка DNS:

asa5510(config)# dhcpd dns 8.8.8.8 178.151.44.131

Настройка NAT:

asa5510# conf t
asa5510(config)# nat-control
asa5510(config)# global (outside) 100 interface
asa5510(config)# nat (wi-fi) 100 192.168.2.0 255.255.255.0
asa5510(config)# nat (byx) 100 192.168.3.0 255.255.255.0
asa5510(config)# nat (antivirus) 100 192.168.1.1 255.255.255.255

где 100 это группа NAT, всего групп 2147483647. Не забываем что в одной группе помещается всего 65536 соединений, если у вас в реальном времени натится больше 1000 “абонентов “, то целесообразно разнести части абонентов в разные группы NAT.

Настройка accsess-list:

asa5510(config)# access-list outside_access_in extended permit tcp any any eq ssh
asa5510(config)# access-list outside_access_in extended permit tcp any any eq 5555
asa5510(config)# access-list outside_access_in extended permit tcp any any eq https
asa5510(config)# access-list outside_access_in extended permit tcp any any eq 8443
asa5510(config)# access-list outside_access_in extended permit tcp any any eq bgp
asa5510(config)# access-list outside_access_in extended permit tcp any any eq pptp
asa5510(config)# access-list outside_access_in extended permit tcp any any eq 7521
asa5510(config)# access-list outside_access_in extended permit tcp host 159.224.X.X any eq 3006
asa5510(config)# access-list outside_access_in extended deny tcp any any eq 3006 log

Вешаем наш accsess-list на внешний интерфейс:

asa5510(config)# access-group outside_access_in in interface outside

Заворачиваем www и почту на проверку в секьюрити модуль:

asa5510(config)# access-list csc-acl remark Exclude CSC module traffic from being scanned
asa5510(config)# access-list csc-acl extended permit tcp any any eq www
asa5510(config)# access-list csc-acl remark Scan Web & Mail traffic
asa5510(config)# class-map csc-class
asa5510(config-cmap)# match access-list csc-acl

Настроим PAT для доступа через веб интерфейс к секьюрити модулю, по умолчанию порт 8443:

asa5510(config)# static (antivirus,outside) tcp interface 8443 192.168.1.1 8443 netmask 255.255.255.255 

После этого можно будет попасть из вне на модуль через браузер https://внешний_айпи:8443

И наконец разберемся с нашим клиент-банком.
Тут будет два случая:
1) Клиент-банк работает через vpn соединение;
2) Клиент-банк работает по определенному tcp порту, в нашем случае это порт 7521.

Для первого случая воспользуемся incpect политикой для pptp протокола. Очень удобная и необходимая штука. Это аналогично модулю insmod ip_nat_pptp для iptables в linux.

asa5510(config)# policy-map global_policy
asa5510(config-pmap)#  class inspection_default
asa5510(config-pmap-c)# asa5510(config-pmap-c)# inspect pptp

В итоге после применения этой политики asa будет пропускать vpn соединение в “мир”.

Теперь второй случай с прозрачным пробросом tcp порта 7521 к бухгалтеру на машину.

Настроим PAT:

static (byx,outside) tcp interface 7521 192.168.3.5 7521 netmask 255.255.255.255

Настроим DHCP server для бухгалтерии

asa5510(config)# dhcpd address 192.168.3.1-192.168.3.253 byx
asa5510(config)# dhcpd enable byx

Настроим DHCP server для wi-fi:

asa5510(config)# dhcpd address 192.168.2.1-192.168.2.253 wi-fi
asa5510(config)# dhcpd enable wi-fi

Сохранимся

asa5510(config)#wr

Конец
Всем спасибо за внимание! Надеюсь расписал понятно.

Автор: demon_odinok

  1. паровозик:

    Спасибо автору за статью.. понял что много чего не знаю )

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js