ASA brandvägg

Den här laborationen fokuserar på hur en Cisco ASA 5505 fungerar i praktiken. Målet är att förstå hur ASA separerar nätverk, kontrollerar trafik, använder säkerhetsnivåer samt skyddar interna nätverk mot oönskad trafik. I denna laboration används inte NAT och ACL funktioner.

Laborationen utgår från en enkel topologi med ett internt nätverk och ett externt nätverk. Senare i kommande laborationer kan topologin byggas ut med en DMZ för att placera publika servrar i ett separat och mer kontrollerat nätverk.

Topologi

I topologin fungerar ASA 5505 som gränsen mellan det interna nätverket och det externa nätverket.

ASA delar nätverket i säkerhetszoner inside och outside.

ASA 5505 och VLAN-interface

ASA 5505 har en inbyggd Layer 2-switch. Det innebär att de fysiska Ethernet-portarna fungerar som switchportar istället för traditionella routed interfaces. Därför används VLAN-interface för Layer 3-konfiguration:

  • VLAN 1 används för inside-nätverket
  • VLAN 2 används för outside-nätverket

De fysiska portarna kopplas till rätt VLAN, medan IP-adress, säkerhetsnivå och övriga Layer 3-inställningar konfigureras på VLAN-interfacet. Till exempel:

  • Ethernet 0/1–0/7 → VLAN 1 (inside)
  • Ethernet 0/0 → VLAN 2 (outside)

På modernare ASA-modeller används istället routed interfaces där varje fysisk port konfigureras direkt med en egen IP-adress.

Säkerhetsnivåer

ASA använder security levels för att avgöra hur trafik får flöda mellan olika nätverk.

Grundprincipen är:

  • Trafik från högre säkerhetsnivå till lägre säkerhetsnivå tillåts som standard
  • Trafik från lägre säkerhetsnivå till högre säkerhetsnivå blockeras som standard

Det innebär exempelvis att:

  • trafik från inside (100) till outside (0) normalt tillåts
  • trafik från outside (0) till inside (100) blockeras om ingen regel uttryckligen tillåter trafiken

Denna modell hjälper till att skydda interna nätverk mot obehörig extern åtkomst.

ASA 5505 standardinställningar

I laborationen används flera standardinställningar av ASA brandväggen och en förenklad policy-baserad grundkonfiguration.

Följande är redan konfigurerat:

  • INSIDE-DHCP aktiverat med nätverket 192.168.1.0/24
  • Ethernet 0/1–0/7 kopplade till VLAN 1 (inside)
  • Ethernet 0/0 kopplad till VLAN 2 (outside)

Outside-nätverk saknar ofta färdig IP-konfiguration i labbmiljön och konfigureras senare i laborationen.

I vissa labbmiljöer kan standardlösenord förekomma för att förenkla den initiala åtkomsten till privilegierat EXEC-läge. I verkliga nätverk ska standardlösenord alltid ändras direkt eftersom de är välkända och innebär en stor säkerhetsrisk.

Stateful inspection

ASA är en stateful brandvägg. Det innebär att den håller reda på aktiva sessioner och automatiskt tillåter returtrafik som hör till en redan etablerad anslutning. Om en klient på inside-nätverket exempelvis skickar trafik mot outside skapas en sessionstabell i ASA. När svarstrafiken kommer tillbaka känner brandväggen igen sessionen och tillåter returtrafiken automatiskt.

Däremot blockeras som standard nya anslutningsförsök som initieras från outside mot inside eftersom outside har en lägre security level.

I laborationen används en policy och en klass för att aktivera inspektion av ICMP- och HTTP-trafik. Med kommandot inspect icmp kan ASA hålla reda på ICMP-sessioner och tillåta returtrafik för exempelvis ping. Med inspect http analyserar ASA HTTP-trafiken statefully och kontrollerar att trafiken följer giltiga HTTP-regler innan den släpps igenom.

Licens

ASA 5505 i laborationen använder en Base License. Licensen stödjer upp till tre VLAN, vilket räcker för:

  • inside
  • outside
  • en enklare DMZ

För större nätverk och mer avancerade funktioner krävs normalt en Security Plus License.

Konfigurationer

PC1-10 IP-konfiguration

  • Dynamiskt tilldelad

inweb-4 IP-konfiguration

  • IP Address: 172.32.2.4
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

PC2-10 IP-konfiguration

    • IP Address: 172.32.2.10
    • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

ouns IP-konfiguration

  • IP Address: 172.32.2.4
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

ouweb IP-konfiguration

  • IP Address: 172.32.2.5
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

ASA konfiguration

    • OUTSIDE interface
    • ciscoasa(config)# interface Ethernet0/2
    • ciscoasa(config-if)# switchport mode access
    • ciscoasa(config-if)# switchport access vlan 2
    • ciscoasa(config-if)# no shutdown
    • ciscoasa(config-if)# exit
    • ciscoasa(config)# interface vlan 2
    • ciscoasa(config-if)# ip address 172.32.2.1 255.255.255.224
    • ciscoasa(config-if)# no shutdown
    • ciscoasa(config-if)# exit
    • Skapa en class-map med namnet CLASS1 för att identifiera eller matcha trafik som senare ska behandlas av en policy.
    • ciscoasa(config)# class-map CLASS1
    • Ange att class-map ska använda den fördefinierade trafiktypen default-inspection-traffic såsom ICMP, FTP, DNS, ICMP, SMTP, HTTP.
    • ciscoasa(config-cmap)# match default-inspection-traffic
    • ciscoasa(config-cmap)# exit
    • Skapa en policy-map med namnet POLICY1. En policy-map innehåller regler för hur ASA ska behandla trafik som matchas i en class-map.
    • ciscoasa(config)# policy-map POLICY1
    • Koppla class-mapen CLASS1 till policy-mapen
    • ciscoasa(config-pmap)# class CLASS1
    • Aktivera stateful inspection för ICMP och HTTP trafik
    • ciscoasa(config-pmap-c)# inspect icmp
    • ciscoasa(config-pmap-c)# inspect http
    • ciscoasa(config-pmap-c)# exit
    • Aktivera policy-mapenPOLICY1 globalt på ASA-brandväggen
    • ciscoasa(config)# service-policy POLICY1 global

Intern klient kommunicerar med externt nätverk

När PC1-10 skickar trafik mot OUWEB går trafiken från inside till outside.

Exempel: PC1> ping 172.32.2.5

Trafiken skickas från ett interface med security level 100 till ett interface med security level 0. Den typen av trafik tillåts som standard av ASA.

ASA är en stateful brandvägg. Det innebär att brandväggen håller reda på aktiva anslutningar i en sessionstabell (state table).

När trafiken passerar genom ASA:

  1. Trafiken kontrolleras mot brandväggens regler
  2. ASA skapar en aktiv session i state table
  3. Returtrafik tillåts automatiskt så länge den hör till den etablerade sessionen

Det innebär att OUWEB får skicka svar tillbaka till PC1, men endast eftersom kommunikationen startades från inside-nätverket.

Extern klient försöker nå intern klient

Om PC2-10 försöker starta en anslutning mot LOWEB-5 går trafiken från outside till inside.

Exempel: PC2> ping 192.168.1.5

Denna trafik blockeras som standard eftersom den går från ett nätverk med lägre säkerhetsnivå till ett nätverk med högre säkerhetsnivå.

Detta är en av de viktigaste säkerhetsfunktionerna i ASA och hjälper till att skydda interna klienter mot obehörig åtkomst från externa nätverk.

Externa enheter kan därför inte starta anslutningar direkt mot interna klienter om inte brandväggen uttryckligen konfigureras för att tillåta det, exempelvis med:

  • ACL-regler
  • statisk NAT
  • port forwarding
  • VPN-policyer