ASA DMZ

I denna del av laborationen byggs nätverket vidare genom att implementera en DMZ.  En DMZ, Demilitarized Zone, är ett separat nätverk som placeras mellan det interna nätverket och externa nätverk, exempelvis internet. I en DMZ placeras vanligtvis servrar som måste kunna nås utifrån, exempelvis webbservrar, DNS-servrar eller e-postservrar.

Utan en DMZ skulle publika servrar behöva placeras direkt i det interna nätverket. Detta innebär en stor säkerhetsrisk eftersom en angripare som lyckas kompromettera en publik server då hamnar mycket nära interna klienter och interna resurser.

I laborationen används tre säkerhetszoner:

  • inside (trusted, 100)
  • DMZ (50)
  • outside (untrusted, 0)

Topologi

ASA använder security levels för att avgöra hur trafik får flöda mellan olika nätverk. Trafik från högre säkerhetsnivå till lägre säkerhetsnivå tillåts normalt som standard, medan trafik från lägre nivå till högre nivå blockeras om ingen regel uttryckligen tillåter trafiken.

Publika servrar i DMZ måste kunna nås från outside. Därför används ACL-regler och ibland NAT eller port forwarding för att tillåta specifika tjänster, exempelvis HTTP eller HTTPS, mot servrarna i DMZ.

Samtidigt betraktas DMZ-servrar som mer osäkra än interna system eftersom de exponeras mot externa användare och internet. Det är därför viktigt att begränsa kommunikationen mellan DMZ och inside.

Om en server i DMZ skulle komprometteras ska angriparen inte automatiskt kunna fortsätta in i det interna nätverket. Trafiken mellan DMZ och inside begränsas därför ofta kraftigt med hjälp av ACL-regler och principen om minsta möjliga behörighet.

Förutom brandväggsregler används även andra säkerhetsmekanismer för att skydda DMZ-servrar, exempelvis:

  • härdade operativsystem
  • regelbundna säkerhetsuppdateringar
  • loggning och övervakning
  • IDS/IPS-system

Säkerhetskopior och redundans

Backup och redundans används däremot främst för återställning och tillgänglighet. De ersätter inte brandväggsregler eller segmentering utan fungerar som ytterligare säkerhetslager.

Denna säkerhetsmodell kallas ofta för Defense in Depth, vilket innebär att flera skyddsmekanismer kombineras för att minska risken för intrång och begränsa skador om ett system komprometteras.

I den fortsatta laborationen implementeras nu en DMZ på ASA-brandväggen där externa användare ska kunna nå publika tjänster samtidigt som inside-nätverket fortsatt skyddas av brandväggens säkerhetsregler och stateful inspection.

Konfigurationer

PC1-10 IP-konfiguration

  • Dynamiskt tilldelad

inweb-4 IP-konfiguration

  • IP Address: 172.32.2.4
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

PC2-10 IP-konfiguration

  • IP Address: 172.32.2.10
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

ouns IP-konfiguration

  • IP Address: 172.32.2.4
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

ouweb IP-konfiguration

  • IP Address: 172.32.2.5
  • Subnet Mask: 255.255.255.224
  • Default Gateway: 172.32.2.1
  • DNS Server: 172.32.2.4

ASA konfiguration

  • OUTSIDE interface
  • ciscoasa(config)# interface Ethernet0/2
  • ciscoasa(config-if)# switchport mode access
  • ciscoasa(config-if)# switchport access vlan 2
  • ciscoasa(config-if)# no shutdown
  • ciscoasa(config-if)# exit
  • ciscoasa(config)# interface vlan 2
  • ciscoasa(config-if)# ip address 172.32.2.1 255.255.255.224
  • ciscoasa(config-if)# no shutdown
  • ciscoasa(config-if)# exit
  • Skapa en class-map med namnet CLASS1 för att identifiera eller matcha trafik som senare ska behandlas av en policy.
  • ciscoasa(config)# class-map CLASS1
  • Ange att class-map ska använda den fördefinierade trafiktypen default-inspection-traffic såsom ICMP, FTP, DNS, ICMP, SMTP, HTTP.
  • ciscoasa(config-cmap)# match default-inspection-traffic
  • ciscoasa(config-cmap)# exit
  • Skapa en policy-map med namnet POLICY1. En policy-map innehåller regler för hur ASA ska behandla trafik som matchas i en class-map.
  • ciscoasa(config)# policy-map POLICY1
  • Koppla class-mapen CLASS1 till policy-mapen
  • ciscoasa(config-pmap)# class CLASS1
  • Aktivera stateful inspection för ICMP och HTTP trafik
  • ciscoasa(config-pmap-c)# inspect icmp
  • ciscoasa(config-pmap-c)# inspect http
  • ciscoasa(config-pmap-c)# exit
  • Aktivera policy-mapenPOLICY1 globalt på ASA-brandväggen
  • ciscoasa(config)# service-policy POLICY1 global

Intern klient kommunicerar med externt nätverk

När PC1-10 skickar trafik mot OUWEB går trafiken från inside till outside.

Exempel: PC1> ping 172.32.2.5

Trafiken skickas från ett interface med security level 100 till ett interface med security level 0. Den typen av trafik tillåts som standard av ASA.

ASA är en stateful brandvägg. Det innebär att brandväggen håller reda på aktiva anslutningar i en sessionstabell (state table).

När trafiken passerar genom ASA:

  1. Trafiken kontrolleras mot brandväggens regler
  2. ASA skapar en aktiv session i state table
  3. Returtrafik tillåts automatiskt så länge den hör till den etablerade sessionen

Det innebär att OUWEB får skicka svar tillbaka till PC1, men endast eftersom kommunikationen startades från inside-nätverket.

Extern klient försöker nå intern klient

Om PC2-10 försöker starta en anslutning mot LOWEB-5 går trafiken från outside till inside.

Exempel: PC2> ping 192.168.1.5

Denna trafik blockeras som standard eftersom den går från ett nätverk med lägre säkerhetsnivå till ett nätverk med högre säkerhetsnivå.

Detta är en av de viktigaste säkerhetsfunktionerna i ASA och hjälper till att skydda interna klienter mot obehörig åtkomst från externa nätverk.

Externa enheter kan därför inte starta anslutningar direkt mot interna klienter om inte brandväggen uttryckligen konfigureras för att tillåta det, exempelvis med:

  • ACL-regler
  • statisk NAT
  • port forwarding
  • VPN-policyer

DMZ konfiguration

  • Skapa VLAN 3
  • ciscoasa(config)# interface vlan 3
  • Konfigurera att DMZ inte får kommunicera direkt med inside-nätverket, VLAN 1.
  • ciscoasa(config-if)# no forward interface vlan 1
  • Namnge VLAN 3 med namnet DMZ.
  • ciscoasa(config-if)# nameif DMZ
  • Konfigurera säkerhetsnivå 50, vilket är lägre än inside 100 men högre än outside 0.
  • ciscoasa(config-if)# security-level 50
  • Konfigurera IP-adressen för DMZ-interfacet.
  • ciscoasa(config-if)# ip address 192.168.3.1 255.255.255.0
  • ciscoasa(config-if)# exit
  • Tilldela port Ethernet0/3 till VLAN 3.
  • ciscoasa(config)# interface e0/3
  • ciscoasa(config-if)# switchport mode access
  • ciscoasa(config-if)# switchport access vlan 3
  • ciscoasa(config-if)# exit
  • Som standard saknas åtkomst från outside till DMZ eftersom trafiken går från lägre säkerhetsnivå till högre säkerhetsnivå. Skapa därför en ACL som tillåter ICMP och HTTP till webbservern i DMZ.
  • ciscoasa(config)# access-list ACL1 extended permit icmp any host 192.168.3.10
  • ciscoasa(config)# access-list ACL1 extended permit icmp any host 192.168.3.11
  • ciscoasa(config)# access-list ACL1 extended permit tcp any host 192.168.3.10 eq www
  • ciscoasa(config)# access-list ACL1 extended permit tcp any host 192.168.3.11 eq www
  • ciscoasa(config)# access-group ACL1 in interface outside
  • ciscoasa(config)# exit
  • ciscoasa#