Az alábbi konfigurációs parancsok alapul szolgálnak a biztonsági berendezés felállításához:
1. lépés: Kiválasztott szintű jelszó beállítása (jelszó engedélyezése)
Alapértelmezés szerint nincs jelszó az ASA tűzfal eléréséhez, tehát az első lépés, mielőtt bármi mást tehet, egy privilegizált szintű jelszót kell beállítania, amely a készülék későbbi eléréséhez szükséges. Konfigurálási módban állítsa be ezt:
ciscoasa (config) # enable password mysecretpassword
2. lépés: Parancssor-kezelés engedélyezése
A távfelügyeleti eszköz távolról is elérhető a Command Line Interface Management (CLI) használatával Telnet vagy SSH vagy webes grafikus felügyelet segítségével HTTPS (ASDM menedzsment) használatával. Ajánlott SSH-t használni a CLI menedzsmenthez, mivel a tűzfalon keresztüli kommunikáció titkosítva lesz, szemben a titkosítatlan Telnet használatával. Az SSH engedélyezéséhez a tűzfalon először létre kell hozni egy felhasználónevet / jelszót a hitelesítéshez, majd titkosítási kulcsokat (RSA kulcsokat) kell generálni, és meg kell adni az irányító állomás / hálózat IP-címét is.
! Hozzon létre egy "ciscoadmin" felhasználónevet a "adminpassword" jelszóval, és használja ezt a LOCAL felhasználónevet
SSH kapcsolatok hitelesítéséhez
ciscoasa (config) #username ciscoadmin jelszó adminpassword
ciscoasa (config) #aaa hitelesítés ssh console LOCAL
! Hozzon létre egy 1024 bites RSA kulcspárt a tűzfalhoz, amelyre az SSH szükséges
ciscoasa (config) # crypto kulcs generál rsa modulus 1024 A kulcspár generációs folyamat megkezdődik. Kérem várjon ... ciscoasa (config) #
! Adja meg a biztonsági eszközhöz csatlakozó gazdagépeket.
ciscoasa (config) #ssh 10.1.1.1 255.255.255.255 belül
ciscoasa (config) #ssh 200.200.200.1 255.255.255.255 kívül
STEP3: Tűzfal gazdagépének konfigurálása
A Cisco ASA készülékek alapértelmezett gazdaneve a ciscoasa, és a Cisco PIX készülék pixfirewall. Ajánlatos egy új tűzfal egyedi hosztnevét beállítani, hogy megkülönböztethesse azt a többi hálózati tűzfalak közül.
ciscoasa (config) # hostname NewYork-FW NewYork-FW (config) #
Vegye észre, hogy a CLI-kérelem megváltozott az újonnan beállított új gépnévre vonatkozóan.
4. lépés: Interfészparancsok konfigurálása
A Cisco ASA interfészek száma GigabitEthernet0 / 0, GigabitEthernet0 / 1, GigabitEthernet0 / 2 stb. (Cisco ASA 5510 modell esetén a csatolások számozása Etherne0 / 0, Ethernet0 / 1 stb.). Az "Interface" parancs speciális konfigurációs módot tesz lehetővé a megadott interfészhez (interfész konfigurációs mód), majd lehetővé teszi, hogy más interfész-alparancsokat állítson be az interfészmódban. A Cisco ASA 5505 esetében az interfészparancsok a "VLAN x interfész" módban vannak konfigurálva.
ciscoasa (config) # interfész GigabitEthernet0 / 1
ciscoasa (config-if) # ß Konfigurálja az interfész specifikus al-parancsokat
A Cisco ASA 5505 esetében:
ciscoasa (config) # interfész Vlan [vlan szám]
ciscoasa (config-if) # ß Konfigurálja az interfész specifikus al-parancsokat
A szükséges interfész alparancsok, amelyeket be kell állítani ahhoz, hogy az interfész áthaladjon, a következők:
nameif "interface name": Név hozzárendel egy interfészhez
ip cím "ip_address" "subnet_mask": IP cím hozzárendelése az interfészhez
biztonsági szint "0-100": Biztonsági szint hozzárendelése az interfészhez
nincs kikapcsolás: Alapértelmezés szerint minden interfész le van állítva, ezért engedélyezze őket.
Az alábbi konfigurációs pillanatkép mutatja az összes szükséges interfész-al-parancsot:
ciscoasa (config) # interfész GigabitEthernet0 / 1 ciscoasa (config-if) # nameif belül
ciscoasa (config-if) # ip cím 10.0.0.1 255.255.255.0
ciscoasa (config-if) # biztonsági szint 100 ß Alapértelmezés szerint a "belső" felület a sec-level 100 ciscoasa (config-if) # nincs leállítás
ciscoasa (config) # interfész GigabitEthernet0 / 0 ciscoasa (config-if) # nameif kívül
ciscoasa (config-if) # ip cím 10.1.1.1 255.255.255.0
ciscoasa (config-if) # biztonsági szint 0 ß Alapértelmezés szerint a "külső" felület a sec-level 0 ciscoasa (config-if) # nincs leállítás
5. lépés: Szükség szerint állítsa be a NAT vezérlést
Egy másik fontos konfigurációs lépés a nat-control. A NAT (Network Address Translation) egy kötelező konfiguráció volt a régebbi Cisco PIX tűzfalakban (PIX 6.x verzióban), de az ASA tűzfalakkal ez nem így van. A Nat-Control (amely alapértelmezés szerint le van tiltva) meghatározza, hogy a biztonsági berendezés érvényesíteni fogja-e a címek elrejtését (vagyis a címfordítást) minden olyan forgalomból, amely egy magas biztonsági szintről alacsonyabbra halad. Ha az alapértelmezett konfigurációval (vagyis a nat-vezérlés letiltva) marad, ez lehetővé teszi, hogy a NAT-ot (cím búvóhelyét) csak a kiválasztott forgalomra használja, ahogy csak szüksége van. Ha engedélyezi a nat-vezérlést (az asa (config) # nat-control paranccsal), akkor NAT szabályt kell megadni az ALL forgalomnak, amely egy nagy biztonsági felületről egy alacsonyabb biztonsági felületen halad át. A NAT szabálynak meg kell felelnie a
megfelelő "globális" parancsot (többet később a NAT-ről).
Az útválasztás alapvető lépés a konfiguráláshoz, ellenkező esetben a tűzfal eszköz nem tudja, hogyan küldjön forgalmat a rendeltetési helyre. A fenti példában csak az alapértelmezett és a statikus útvonalat mutatjuk be, bár dinamikus útválasztási protokollok (RIP, OSPF, EIGRP) is konfigurálhatók. Javaslom az alapértelmezett vagy statikus útvonalválasztást, és elkerüljék a dinamikus protokollokat a kis hálózatokban. Ugyanakkor a dinamikus útválasztási protokollok az ASA-ban szintén hasznosak a nagyobb és összetett hálózatokban. További információ a dinamikus útválasztási protokollokról egy későbbi fejezetben.
Használja az útvonal parancsot arra, hogy egy interfészhez statikus vagy alapértelmezett útvonalat adjon meg. A parancs formátuma:
ciscoasa (config) # útvonal "interface-name" "cél-ip-cím" "netmask" "átjáró" "
Lássunk egy példa konfigurációt alább:
ciscoasa (config) # útvonalon kívül 0.0.0.0 0.0.0.0 100.1.1.1 ß Alapértelmezett útvonal
ciscoasa (config) # útvonalon belül 192.168.2.0 255.255.255.0 192.168.1.1 ß Statikus útvonal
Az alapértelmezett útvonalra (általában az internet felé) a cél-ip-címet és a netmaskot is beállítja 0.0.0.0-ra. Készítsen statikus útvonalakat is, hogy bizonyos helyi hálózatokon kívül ismert hálózatokhoz jusson, amint azt a fenti ábra mutatja.
Az útválasztási konfiguráció befejezi a "Minimális kötelező" lépéseket, amelyek a biztonsági eszköz működéséhez szükségesek. Ezután további részleteket kapunk további konfigurációs funkciókhoz, amelyek javítják a tűzfal által védett hálózatok biztonságát.
Ebben a fejezetben egy nagyon fontos biztonsági mechanizmusról beszélünk, amely az IP-címfordítással (cím elrejtésével), annak különböző típusaiban és a tűzfal eszközzel foglalkozik a fordítási mechanizmusokkal.
NETWORK ADDRESS TRANSLATION (NAT)
A nyilvános IPv4 címtartomány kimerültsége arra késztette az internetes közösséget, hogy gondolkodjon a hálózati állomások kezelésének alternatív módjairól. A NAT-ot azért hozták létre, hogy leküzdjék ezeket az internetes terjeszkedéssel kapcsolatos problémákat.
A NAT IP-hálózatok használatának egyik előnye a következő: a NAT segít globális IP-cím kimerülésének enyhítésében.
A hálózatok belső használatra használhatják az RFC 1918 privát címtartományt.
A NAT növeli a biztonságot a belső hálózati topológia és a címzés elrejtésével.
Az alábbi ábra egy "belső" hálózattal rendelkező alap-topológiát mutat be, amelyhez az ASA tűzfal NAT műveletet hajt végre, hogy a "belső" címet egy "külső" címre lefordítsa, így elrejtve a belső IP tartományt. Vegye figyelembe, hogy a fordítás a csomagok "forrás" IP címére vonatkozik.
A NAT-t mindig a OUTBOUND forgalomhoz használják, vagyis a belső hálózatról (nagyobb biztonsági szint) érkező forgalom külső hálózat felé (alacsonyabb biztonsági szint). A fenti ábrán a 192.168.1.1-es privát IP-című gazdagép forgalomát 100.1.1.2-es nyilvános, irányítható címre fordítjuk, hogy az internet felé irányuljon. Most a válasz csomagokat küld az internetről a belső oldalunkra
a fogadónak címzett címe lesz az IP 100.1.1.2, amelyre a tűzfal már rendelkezik egy fordítási szabálysal. A tűzfal ezután lefordítja a 100.1.1.2 nyilvános címet 192.168.1.1-re és elküldi azt a belső gazdagépnek.
A nat és globális parancsok együtt dolgoznak, hogy létrehozzák azokat a fordítási szabályokat, amelyek lehetővé teszik a belső hálózat számára, hogy bármilyen IP-címzési rendszert használjanak, és ugyanakkor el vannak rejtve a külvilágtól.
A Cisco ASA tűzfalak támogatják a címfordítások két fő típusát:
Dinamikus NAT-fordítás: A forrásbiztonsági interfészek forráscímét egy kevésbé biztonságos felületen lévő IP-címek tartományába (vagy poolba) fordítja a kimenő kapcsolatokhoz. A nat parancs határozza meg, hogy melyik belső gazdagépet lefordítják, és a globális parancs határozza meg a címtartományt a kimenő felületen.
Statikus NAT-fordítás: Tartalmaz egy állandó, egy-egy cím leképezést egy IP-cím között egy biztonságosabb felületen és egy IP-n egy kevésbé biztonságos felületen. A megfelelő hozzáférés-vezérlési lista (ACL) segítségével a statikus NAT lehetővé teszi a kevésbé biztonságos interfészek (pl. Internet) számára a gazdagépeket nagyobb biztonsági felületen (pl. Webszerver DMZ-n), anélkül, hogy a gazdagép biztonsági felület.
Ebben a részben a dinamikus NAT fordítást több forgatókönyvvel is leírjuk. A dinamikus NAT-ban használt nat és globális parancsok formátuma az alábbi:
ciscoasa (config) # nat (belső_felület_neve) "nat-id" "belső hálózati IP alhálózat" ciscoasa (config) # globális (külső_felület_neve) "nat-id".
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßBeszámolandó belső oldal ciscoasa (config) # globális (külső) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0 ßElső
medence
A forgatókönyv felett a tűzfal dinamikus NAT-ot fog végrehajtani minden belső gépen (192.168.1.0/24). A kimenő forgalom belső és külső IP-címei le lesznek leolvasva a Külső Globális 100.1.1.2 100.1.1.50. Vegye figyelembe a nat-id értéket (1). Ez a szám a nat parancsot a globális paranccsal köti össze. Jelentősége lesz a következő forgatókönyvekben.
Vegye figyelembe a "belső" és a "külső" neveket is, amelyeket a nat és a globális parancsok használnak. Ezek a nevek a "nameif" parancs interfészkonfigurációjában vannak megadva.
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ß Első Belső Hálózat
ciscoasa (config) # nat (belső) 2 192.168.2.0 255.255.255.0 ßSpeciális belső hálózat
ciscoasa (config) # globális (külső) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0
ciscoasa (config) # globális (külső) 2 100.1.1.51-100.1.1.100 netmask 255.255.255.0
A forgatókönyv itt bemutatja a nat-id paraméter fontosságát és azt, hogyan használják fel ezt a nat / globális parancspárt. Az első nat parancs utasításában lévő nat-id (1) azt mondja a tűzfalnak, hogy a belső hálózati 192.168.1.0/24 címeket átmásolja a leképezett globális IP poolba, amely ugyanazt a nat-idet tartalmazza (azaz 100.1.1.2-ig 100.1-ig. 1,50). Hasonlóképpen, a nat-id (2) a második nat utasításban azt mondja a tűzfalnak, hogy a 192.168.2.0/24-ben a gazdagépek címét lefordítsák a nat-id (2) natív azonosítóval (2) (azaz a 100.1.1.51 felfelé 100.1.1.100-ig).
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßBelső alhálózat
ciscoasa (config) # nat (DMZ) 1 172.16.1.0 255.255.255.0 ßDMZ Alhálózat
ciscoasa (config) # globális (külső) 1 100.1.1.1-100.1.1.254 netmask 255.255.255.0
ciscoasa (config) # globális (DMZ) 1 172.16.1.100-172.16.1.254 netmask 255.255.255.0
A fenti forgatókönyv szerint feltételezzük, hogy a "belső" interfésznek 100-as biztonsági szintje van, a "DMZ" interfész biztonsági szintje 50, a "külső" interfész 0. szintű biztonsági szintet jelent. Ez azt jelenti, hogy a "belső" (azaz mind a "DMZ", mind a "külső"). Ezen túlmenően ezek a biztonsági szintek lehetővé teszik a DMZ interfész házigazdái számára a külső interfész felé történő kapcsolódást.
Mivel mind a leképezett poolok (globális parancsok), mind a nat (belső) parancs ugyanazt a nat-idet használják, a belső hálózaton lévő gazdagépek címét (192.168.1.0/24) le lehet fordítani mind a leképezett poolba, a forgalom irányától függően. Ezért, amikor a belső interfészen lévő gazdagépek a DMZ-hez hozzáférnek, a globális (DMZ) parancs a forráscímeket lefordítja a 172.16.1.100 - 172.16.1.254 tartományba tartozó címekre. Hasonlóképpen, amikor a házigazdák beléptetik a házigazdákat külsőleg, a globális (külső) parancs a forráscímeket a 100.1.1.1-100.1.1.254 tartományba fordítja.
Ezenkívül a fenti konfiguráció lehetővé teszi, hogy a DMZ a NAT-t is használhatja, amikor külső gazdagépeket használ. A nat (DMZ) a globális (külső) parancsokkal együtt a DMZ állomások (172.16.1.0/24) forráscímét a 100.1.1.1 - 100.1.1.254 külső tartományba fordítja le.
Monitoring NAT Translations
A ciscoasa # show xlate parancs megjeleníti a NAT fordítási táblázat tartalmát. pl. Globális 100.1.1.10 Helyi 192.168.1.10
A fenti kimenet azt mutatja, hogy a 192.168.1.10 privát helyi címet a 100.1.1.10.
PORT ADDRESS TRANSLATION (PAT)
A Dynamic NAT esetében azt feltételezzük, hogy a nyilvános címek tartománya (medence) van, amelyet a belső hálózati privát címek lefordításához használunk. Valódi helyzetekben a vállalati hálózat csak korlátozott számú nyilvános címet kap az internetszolgáltatójától, míg a belső privát címek száma sokkal nagyobb. Ez azt jelenti, hogy ha dinamikus NAT-t használunk ilyen helyzetben, akkor a külső nyilvános címtartomány nagyon gyorsan lesz kimerülve, amikor sok belső gép egyidejűleg hozzáfér az internethez.
Ennek a problémának a leküzdéséhez egy "sok-egyben" címfordítást használhatunk, amelyet a Port Address Translation (PAT) is nevezünk. A PAT használatával a különböző belső gazdagépektől származó több kapcsolat multiplexelhető egyetlen globális (nyilvános) IP címre, különböző forrásportszámok használatával. Lássunk egy példát itt:
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßA PNA protokoll használatához szükséges alhálózat ciscoasa (config) # globális (külső) 1 100.1.1.2 netmask 255.255.255.255 ß Egyetlen
globális IP-cím a PAT számára
A fenti példában minden belső privát cím (192.168.1.0/24) egy nyilvános IP-címet (100.1.1.2) használ különböző forrásportszámokkal. Ez azt jelenti, hogy amikor a 192.168.1.1 hoszt csatlakozik az interneten a kiszolgálón kívül, a tűzfal a forrás címét és portját 100.1.1.2-re fordítja le az 1024 forrásporttal. Hasonlóképpen a 192.168.1.2-es gazdagépet újra át kell fordítani a 100.1.1.2-re, különböző forrásport (1025). A forrásportok dinamikusan 1023-nál nagyobb egyedi számra változnak. Egyetlen PAT-cím támogathatja a 64000 belső gazdagépet.
Monitoring PAT Translations
A ciscoasa # show xlate parancs megjeleníti a PAT fordítási táblázat tartalmát. pl. PAT Global 100.1.1.2 (1024) Helyi 192.168.1.1 (4513)
A fenti kimenet azt mutatja, hogy egy kapcsolat a 192.168.1.1 privát helyi címmel a 4513 forrásporttal a 100.1.1.2 címre fordítja le az 1024 forrásporttal.
A tűzfal nyomon követi az összes NAT-munkamenetet a xlate táblája segítségével, így amikor a válaszcsomag kívülről jön vissza, a tűzfal ellenőrzi a fordítási táblázatot, hogy megtudja, melyik portszám tartozik az adott válaszcsomaghoz annak érdekében, hogy a helyes belső gazdagép.
Számos különböző forgatókönyv létezik, amelyekben a PAT használható a hálózatban. Ezeket majd leírjuk.
1. forgatókönyv: PAT külső interfész IP-cím használatával
Ahelyett, hogy egy meghatározott IP-címet beállítana a PAT-ban használt globális parancsban (a fenti példában), megadhatjuk a külső interfészt PAT-címként. Ez a forgatókönyv akkor fontos, ha tűzfalunk dinamikus nyilvános IP-címet kap az internetszolgáltatótól (ISP), ebben az esetben nem ismerjük a pontos címet a globális parancsra való konfiguráláshoz.
Az alábbi ábrán látható egy konfigurációs példa a DHCP külső címét használva a PAT számára:
ciscoasa (config) # interfész G0 / 0
ciscoasa (config-if) # ip cím dhcp setroute ßAz külső cím és átjáró az internetszolgáltatótól ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßInnet alhálózat a PAT használatához ciscoasa (config) # globális (külső) 1 interfész ß A PAT külső IP-címét használja
Az "IP cím dhcp setroute" interfész parancs konfigurálja a tűzfalat, hogy DHCP kliensként működjön az internetszolgáltató számára, és automatikusan kapjon nyilvános címet. A "setroute" paraméter azt mondja a Cisco Firewall számára, hogy az alapértelmezett útvonalat állítsa be a DHCP szerver alapértelmezett átjáró értékével. Ne állítson be alapértelmezett útvonalat a setroute opció használatakor.
2. forgatókönyv: Különböző belső alhálózatok leképezése különböző PAT címekre
A nat-id paraméter segítségével két vagy több nat / globális paramétert tudunk megkötni annak érdekében, hogy a különböző belső hálózati alhálózatokat a különböző PAT-címekre térképezzük fel, ahogy az az alábbi ábrán látható:
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0
ciscoasa (config) # globális (külső) 1 100.1.1.1 netmask 255.255.255.255
ciscoasa (config) # nat (belső) 2 192.168.2.0 255.255.255.0
ciscoasa (config) # globális (kívül) 2 100.1.1.2 netmask 255.255.255.255
A 192.168.1.0/24 belső alhálózaton lévő kimenő kapcsolatok valószínűleg címről származnak
és a kimeneti kapcsolatok a 192.168.2.0/24 alhálózatból a 100.1.1.2 címről származnak.
3. forgatókönyv: Dinamikus NAT és PAT Translation kombinálása
A Dinamikus NAT fordításhoz külső nyilvános IP-címekből álló csoportot használhatunk, és ezt a pool-ot egyetlen PAT-címmel kiegészíthetjük, ha a globális poolban lévő címek kimerülnek.
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0
ciscoasa (config) # globális (külső) 1 100.1.1.100-100.1.1.253 netmask 255.255.255.0
ciscoasa (config) # globális (külső) 1 100.1.1.254 netmask 255.255.255.255
A 192.168.1.0/24 belsõ hálózatból érkezõ kimenõ címeket a 100.1.1.100 és a 100.1.1.253 közötti tartományok hozzárendelik. Ha a tűzfal hozzárendel minden címet a dinamikus gyűjteményből, akkor túlcsordul a 100.1.1.254. PAT címére.
STATIKUS CÍMKÉSZÍTÉS (STATIKUS NAT)
Az előző szakaszokban (dinamikus NAT és PAT) tárgyalt két fordítási típust csak a kimenő kommunikációhoz használjuk (vagyis magasabb biztonsági szintről alacsonyabb biztonsági szintre).
Ha azonban egy külső gazdagép (úgynevezett gazda az interneten) kommunikációt indít a belső tűzfal mögé, akkor ez nem lehetséges, ha csak dinamikus NAT vagy PAT konfiguráltunk. Ez nagyon jó a biztonság szempontjából, de számos esetben engedélyeznünk kell a bejövő hozzáférést is (vagyis az alacsonyabb biztonsági szinttől a magasabb biztonsági szintig - kívülről befelé). Ennek elérése érdekében statikus NAT fordítást kell használnunk, és konfigurálnunk kell a megfelelő beléptetési listát is. A statikus NAT térképek egy állandó (globális) (külső) címhez tartósan egy gazdagép címet adnak.
A statikus NAT használatának legfontosabb okai a következők:
Van egy belső szerverünk (például cégünk e-mailje vagy webszervere), amely mindig megjelenik egy rögzített nyilvános IP címmel a tűzfal Külső felületén.
Engedélyeznünk kell a külső (például az interneten) házigazdák számára, hogy kezdeményezzenek kapcsolatokat egy helyi belső szerverhez (például web vagy e-mail szerverünkhöz).
Port átirányítást szeretnénk használni (erről később).
A statikus NAT parancsformátuma a következő:
ciscoasa (config) # statikus (real_interface_name, mapped_interface_name) "mapped_IP" "real_IP" netmask "subnet_mask"
A statikus NAT konfigurálásához ismerni kell a következő paramétereket:
Között két kapcsolódási pont van a fordítást végrehajtva. A két interfész definíciója a valós_interface és a mapped_interface. Az igazi interfésznek (pl. DMZ interfésznek vagy belső interfésznek) nagyobb biztonsági szintje van, mint a leképezett interfész (pl. Külső interfész).
A gazdagép valós_IP címe (a gazdagép hálózati kártyáján ténylegesen beállított IP).
A gazdagép mapped_IP (vagy lefordított) IP címe (vagyis a cím, amelyet a fogadó ismert a Külső hálózatokon).
Egy kis "fogás", amellyel a statikus parancsnak óvatosnak kell lennie, a következő: amikor az interfész nevét a zárójelbe írja be, először a valós_interfő nevét adja meg, majd a mapped_interface nevet (lásd a fenti parancsformátumot). Ha azonban az interfész nevek után konfigurálja az IP-címeket, először a mapped_IP címet adja meg, majd a real_IP címet. Lássunk néhány példa forgatókönyvet a dolgok egyértelművé tételéhez:
NETWORK ADDRESS TRANSLATION (NAT)
A nyilvános IPv4 címtartomány kimerültsége arra késztette az internetes közösséget, hogy gondolkodjon a hálózati állomások kezelésének alternatív módjairól. A NAT-ot azért hozták létre, hogy leküzdjék ezeket az internetes terjeszkedéssel kapcsolatos problémákat.
A NAT IP-hálózatok használatának egyik előnye a következő: a NAT segít globális IP-cím kimerülésének enyhítésében.
A hálózatok belső használatra használhatják az RFC 1918 privát címtartományt.
A NAT növeli a biztonságot a belső hálózati topológia és a címzés elrejtésével.
Az alábbi ábra egy "belső" hálózattal rendelkező alap-topológiát mutat be, amelyhez az ASA tűzfal NAT műveletet hajt végre, hogy a "belső" címet egy "külső" címre lefordítsa, így elrejtve a belső IP tartományt. Vegye figyelembe, hogy a fordítás a csomagok "forrás" IP címére vonatkozik.
A NAT-t mindig a OUTBOUND forgalomhoz használják, vagyis a belső hálózatról (nagyobb biztonsági szint) érkező forgalom külső hálózat felé (alacsonyabb biztonsági szint). A fenti ábrán a 192.168.1.1-es privát IP-című gazdagép forgalomát 100.1.1.2-es nyilvános, irányítható címre fordítjuk, hogy az internet felé irányuljon. Most a válasz csomagokat küld az internetről a belső oldalunkra
a fogadónak címzett címe lesz az IP 100.1.1.2, amelyre a tűzfal már rendelkezik egy fordítási szabálysal. A tűzfal ezután lefordítja a 100.1.1.2 nyilvános címet 192.168.1.1-re és elküldi azt a belső gazdagépnek.
A nat és globális parancsok együtt dolgoznak, hogy létrehozzák azokat a fordítási szabályokat, amelyek lehetővé teszik a belső hálózat számára, hogy bármilyen IP-címzési rendszert használjanak, és ugyanakkor el vannak rejtve a külvilágtól.
A Cisco ASA tűzfalak támogatják a címfordítások két fő típusát:
Dinamikus NAT-fordítás: A forrásbiztonsági interfészek forráscímét egy kevésbé biztonságos felületen lévő IP-címek tartományába (vagy poolba) fordítja a kimenő kapcsolatokhoz. A nat parancs határozza meg, hogy melyik belső gazdagépet lefordítják, és a globális parancs határozza meg a címtartományt a kimenő felületen.
Statikus NAT-fordítás: Tartalmaz egy állandó, egy-egy cím leképezést egy IP-cím között egy biztonságosabb felületen és egy IP-n egy kevésbé biztonságos felületen. A megfelelő hozzáférés-vezérlési lista (ACL) segítségével a statikus NAT lehetővé teszi a kevésbé biztonságos interfészek (pl. Internet) számára a gazdagépeket nagyobb biztonsági felületen (pl. Webszerver DMZ-n), anélkül, hogy a gazdagép biztonsági felület.
Ebben a részben a dinamikus NAT fordítást több forgatókönyvvel is leírjuk. A dinamikus NAT-ban használt nat és globális parancsok formátuma az alábbi:
ciscoasa (config) # nat (belső_felület_neve) "nat-id" "belső hálózati IP alhálózat" ciscoasa (config) # globális (külső_felület_neve) "nat-id".
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßBeszámolandó belső oldal ciscoasa (config) # globális (külső) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0 ßElső
medence
A forgatókönyv felett a tűzfal dinamikus NAT-ot fog végrehajtani minden belső gépen (192.168.1.0/24). A kimenő forgalom belső és külső IP-címei le lesznek leolvasva a Külső Globális 100.1.1.2 100.1.1.50. Vegye figyelembe a nat-id értéket (1). Ez a szám a nat parancsot a globális paranccsal köti össze. Jelentősége lesz a következő forgatókönyvekben.
Vegye figyelembe a "belső" és a "külső" neveket is, amelyeket a nat és a globális parancsok használnak. Ezek a nevek a "nameif" parancs interfészkonfigurációjában vannak megadva.
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ß Első Belső Hálózat
ciscoasa (config) # nat (belső) 2 192.168.2.0 255.255.255.0 ßSpeciális belső hálózat
ciscoasa (config) # globális (külső) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0
ciscoasa (config) # globális (külső) 2 100.1.1.51-100.1.1.100 netmask 255.255.255.0
A forgatókönyv itt bemutatja a nat-id paraméter fontosságát és azt, hogyan használják fel ezt a nat / globális parancspárt. Az első nat parancs utasításában lévő nat-id (1) azt mondja a tűzfalnak, hogy a belső hálózati 192.168.1.0/24 címeket átmásolja a leképezett globális IP poolba, amely ugyanazt a nat-idet tartalmazza (azaz 100.1.1.2-ig 100.1-ig. 1,50). Hasonlóképpen, a nat-id (2) a második nat utasításban azt mondja a tűzfalnak, hogy a 192.168.2.0/24-ben a gazdagépek címét lefordítsák a nat-id (2) natív azonosítóval (2) (azaz a 100.1.1.51 felfelé 100.1.1.100-ig).
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßBelső alhálózat
ciscoasa (config) # nat (DMZ) 1 172.16.1.0 255.255.255.0 ßDMZ Alhálózat
ciscoasa (config) # globális (külső) 1 100.1.1.1-100.1.1.254 netmask 255.255.255.0
ciscoasa (config) # globális (DMZ) 1 172.16.1.100-172.16.1.254 netmask 255.255.255.0
A fenti forgatókönyv szerint feltételezzük, hogy a "belső" interfésznek 100-as biztonsági szintje van, a "DMZ" interfész biztonsági szintje 50, a "külső" interfész 0. szintű biztonsági szintet jelent. Ez azt jelenti, hogy a "belső" (azaz mind a "DMZ", mind a "külső"). Ezen túlmenően ezek a biztonsági szintek lehetővé teszik a DMZ interfész házigazdái számára a külső interfész felé történő kapcsolódást.
Mivel mind a leképezett poolok (globális parancsok), mind a nat (belső) parancs ugyanazt a nat-idet használják, a belső hálózaton lévő gazdagépek címét (192.168.1.0/24) le lehet fordítani mind a leképezett poolba, a forgalom irányától függően. Ezért, amikor a belső interfészen lévő gazdagépek a DMZ-hez hozzáférnek, a globális (DMZ) parancs a forráscímeket lefordítja a 172.16.1.100 - 172.16.1.254 tartományba tartozó címekre. Hasonlóképpen, amikor a házigazdák beléptetik a házigazdákat külsőleg, a globális (külső) parancs a forráscímeket a 100.1.1.1-100.1.1.254 tartományba fordítja.
Ezenkívül a fenti konfiguráció lehetővé teszi, hogy a DMZ a NAT-t is használhatja, amikor külső gazdagépeket használ. A nat (DMZ) a globális (külső) parancsokkal együtt a DMZ állomások (172.16.1.0/24) forráscímét a 100.1.1.1 - 100.1.1.254 külső tartományba fordítja le.
Monitoring NAT Translations
A ciscoasa # show xlate parancs megjeleníti a NAT fordítási táblázat tartalmát. pl. Globális 100.1.1.10 Helyi 192.168.1.10
A fenti kimenet azt mutatja, hogy a 192.168.1.10 privát helyi címet a 100.1.1.10.
PORT ADDRESS TRANSLATION (PAT)
A Dynamic NAT esetében azt feltételezzük, hogy a nyilvános címek tartománya (medence) van, amelyet a belső hálózati privát címek lefordításához használunk. Valódi helyzetekben a vállalati hálózat csak korlátozott számú nyilvános címet kap az internetszolgáltatójától, míg a belső privát címek száma sokkal nagyobb. Ez azt jelenti, hogy ha dinamikus NAT-t használunk ilyen helyzetben, akkor a külső nyilvános címtartomány nagyon gyorsan lesz kimerülve, amikor sok belső gép egyidejűleg hozzáfér az internethez.
Ennek a problémának a leküzdéséhez egy "sok-egyben" címfordítást használhatunk, amelyet a Port Address Translation (PAT) is nevezünk. A PAT használatával a különböző belső gazdagépektől származó több kapcsolat multiplexelhető egyetlen globális (nyilvános) IP címre, különböző forrásportszámok használatával. Lássunk egy példát itt:
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßA PNA protokoll használatához szükséges alhálózat ciscoasa (config) # globális (külső) 1 100.1.1.2 netmask 255.255.255.255 ß Egyetlen
globális IP-cím a PAT számára
A fenti példában minden belső privát cím (192.168.1.0/24) egy nyilvános IP-címet (100.1.1.2) használ különböző forrásportszámokkal. Ez azt jelenti, hogy amikor a 192.168.1.1 hoszt csatlakozik az interneten a kiszolgálón kívül, a tűzfal a forrás címét és portját 100.1.1.2-re fordítja le az 1024 forrásporttal. Hasonlóképpen a 192.168.1.2-es gazdagépet újra át kell fordítani a 100.1.1.2-re, különböző forrásport (1025). A forrásportok dinamikusan 1023-nál nagyobb egyedi számra változnak. Egyetlen PAT-cím támogathatja a 64000 belső gazdagépet.
Monitoring PAT Translations
A ciscoasa # show xlate parancs megjeleníti a PAT fordítási táblázat tartalmát. pl. PAT Global 100.1.1.2 (1024) Helyi 192.168.1.1 (4513)
A fenti kimenet azt mutatja, hogy egy kapcsolat a 192.168.1.1 privát helyi címmel a 4513 forrásporttal a 100.1.1.2 címre fordítja le az 1024 forrásporttal.
A tűzfal nyomon követi az összes NAT-munkamenetet a xlate táblája segítségével, így amikor a válaszcsomag kívülről jön vissza, a tűzfal ellenőrzi a fordítási táblázatot, hogy megtudja, melyik portszám tartozik az adott válaszcsomaghoz annak érdekében, hogy a helyes belső gazdagép.
Számos különböző forgatókönyv létezik, amelyekben a PAT használható a hálózatban. Ezeket majd leírjuk.
1. forgatókönyv: PAT külső interfész IP-cím használatával
Ahelyett, hogy egy meghatározott IP-címet beállítana a PAT-ban használt globális parancsban (a fenti példában), megadhatjuk a külső interfészt PAT-címként. Ez a forgatókönyv akkor fontos, ha tűzfalunk dinamikus nyilvános IP-címet kap az internetszolgáltatótól (ISP), ebben az esetben nem ismerjük a pontos címet a globális parancsra való konfiguráláshoz.
Az alábbi ábrán látható egy konfigurációs példa a DHCP külső címét használva a PAT számára:
ciscoasa (config) # interfész G0 / 0
ciscoasa (config-if) # ip cím dhcp setroute ßAz külső cím és átjáró az internetszolgáltatótól ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0 ßInnet alhálózat a PAT használatához ciscoasa (config) # globális (külső) 1 interfész ß A PAT külső IP-címét használja
Az "IP cím dhcp setroute" interfész parancs konfigurálja a tűzfalat, hogy DHCP kliensként működjön az internetszolgáltató számára, és automatikusan kapjon nyilvános címet. A "setroute" paraméter azt mondja a Cisco Firewall számára, hogy az alapértelmezett útvonalat állítsa be a DHCP szerver alapértelmezett átjáró értékével. Ne állítson be alapértelmezett útvonalat a setroute opció használatakor.
2. forgatókönyv: Különböző belső alhálózatok leképezése különböző PAT címekre
A nat-id paraméter segítségével két vagy több nat / globális paramétert tudunk megkötni annak érdekében, hogy a különböző belső hálózati alhálózatokat a különböző PAT-címekre térképezzük fel, ahogy az az alábbi ábrán látható:
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0
ciscoasa (config) # globális (külső) 1 100.1.1.1 netmask 255.255.255.255
ciscoasa (config) # nat (belső) 2 192.168.2.0 255.255.255.0
ciscoasa (config) # globális (kívül) 2 100.1.1.2 netmask 255.255.255.255
A 192.168.1.0/24 belső alhálózaton lévő kimenő kapcsolatok valószínűleg címről származnak
és a kimeneti kapcsolatok a 192.168.2.0/24 alhálózatból a 100.1.1.2 címről származnak.
3. forgatókönyv: Dinamikus NAT és PAT Translation kombinálása
A Dinamikus NAT fordításhoz külső nyilvános IP-címekből álló csoportot használhatunk, és ezt a pool-ot egyetlen PAT-címmel kiegészíthetjük, ha a globális poolban lévő címek kimerülnek.
ciscoasa (config) # nat (belső) 1 192.168.1.0 255.255.255.0
ciscoasa (config) # globális (külső) 1 100.1.1.100-100.1.1.253 netmask 255.255.255.0
ciscoasa (config) # globális (külső) 1 100.1.1.254 netmask 255.255.255.255
A 192.168.1.0/24 belsõ hálózatból érkezõ kimenõ címeket a 100.1.1.100 és a 100.1.1.253 közötti tartományok hozzárendelik. Ha a tűzfal hozzárendel minden címet a dinamikus gyűjteményből, akkor túlcsordul a 100.1.1.254. PAT címére.
STATIKUS CÍMKÉSZÍTÉS (STATIKUS NAT)
Az előző szakaszokban (dinamikus NAT és PAT) tárgyalt két fordítási típust csak a kimenő kommunikációhoz használjuk (vagyis magasabb biztonsági szintről alacsonyabb biztonsági szintre).
Ha azonban egy külső gazdagép (úgynevezett gazda az interneten) kommunikációt indít a belső tűzfal mögé, akkor ez nem lehetséges, ha csak dinamikus NAT vagy PAT konfiguráltunk. Ez nagyon jó a biztonság szempontjából, de számos esetben engedélyeznünk kell a bejövő hozzáférést is (vagyis az alacsonyabb biztonsági szinttől a magasabb biztonsági szintig - kívülről befelé). Ennek elérése érdekében statikus NAT fordítást kell használnunk, és konfigurálnunk kell a megfelelő beléptetési listát is. A statikus NAT térképek egy állandó (globális) (külső) címhez tartósan egy gazdagép címet adnak.
A statikus NAT használatának legfontosabb okai a következők:
Van egy belső szerverünk (például cégünk e-mailje vagy webszervere), amely mindig megjelenik egy rögzített nyilvános IP címmel a tűzfal Külső felületén.
Engedélyeznünk kell a külső (például az interneten) házigazdák számára, hogy kezdeményezzenek kapcsolatokat egy helyi belső szerverhez (például web vagy e-mail szerverünkhöz).
Port átirányítást szeretnénk használni (erről később).
A statikus NAT parancsformátuma a következő:
ciscoasa (config) # statikus (real_interface_name, mapped_interface_name) "mapped_IP" "real_IP" netmask "subnet_mask"
A statikus NAT konfigurálásához ismerni kell a következő paramétereket:
Között két kapcsolódási pont van a fordítást végrehajtva. A két interfész definíciója a valós_interface és a mapped_interface. Az igazi interfésznek (pl. DMZ interfésznek vagy belső interfésznek) nagyobb biztonsági szintje van, mint a leképezett interfész (pl. Külső interfész).
A gazdagép valós_IP címe (a gazdagép hálózati kártyáján ténylegesen beállított IP).
A gazdagép mapped_IP (vagy lefordított) IP címe (vagyis a cím, amelyet a fogadó ismert a Külső hálózatokon).
Egy kis "fogás", amellyel a statikus parancsnak óvatosnak kell lennie, a következő: amikor az interfész nevét a zárójelbe írja be, először a valós_interfő nevét adja meg, majd a mapped_interface nevet (lásd a fenti parancsformátumot). Ha azonban az interfész nevek után konfigurálja az IP-címeket, először a mapped_IP címet adja meg, majd a real_IP címet. Lássunk néhány példa forgatókönyvet a dolgok egyértelművé tételéhez:
A fent említett hálózati topológia sok vállalatnál klasszikus. Általában van egy Inside hálózat a tűzfalon, amely az összes belső alkalmazott számítógépét tárolja, az internethez csatlakozó külső hálózatot, valamint egy demilitarizált zónát is (DMZ), amely kiszolgálót tartalmaz, amely elérhető az internetről (példánkban , webszerver és e-mail kiszolgáló). Ebben a forgatókönyvben a DMZ kiszolgálókhoz statikus NAT-ot kell használni, hogy valódi személyes IP-címük mindig állandó nyilvános IP címre lehessen fordulni (10.0.0.1 fordítva a 100.1.1.1-re és a 10.0.0.2-be fordítva a 100.1.1.2-re).
A mi forgatókönyveinkben a következők vannak: Valódi interfész neve: DMZ
Átkapcsolt interfész neve: Kívül
Valódi IP-címek: 10.0.0.1 és 10.0.0.2
Megkapcsolt IP címek: 100.1.1.1 és 100.1.1.2
Lássuk az alábbi konfigurációs pillanatképet:
ciscoasa (config) # statikus (DMZ, kívül) 100.1.1.1 10.0.0.1 netmask 255.255.255.255
ciscoasa (config) # statikus (DMZ, kívül) 100.1.1.2 10.0.0.2 netmask 255.255.255.255
A fenti megállapítások lehetővé teszik a kétirányú kommunikációt a webes és e-mail szerverek számára. Most az internetes állomások elérhetik webes és e-mail szervereinket a 100.1.1.1 és a 100.1.1.2 nyilvános címükön keresztül. Természetesen az ACL szükséges a külső felületen, hogy lehetővé tegye a kommunikációt.
2. forgatókönyv: Statikus NAT egy teljes hálózatra (Net Static)
Ahelyett, hogy állandóan lefordítanánk az egyes befogadó címeket, állandó alkönyvtárakat hozhatunk létre egy teljes alhálózathoz egyetlen paranccsal. Hivatkozva az előző diagramra, feltételezzük, hogy teljes C osztályú nyilvános címtartománya van 100.1.1.0/24. A teljes DMZ-tartományt lefordíthatjuk a 10.0.0.0/24 és a 100.1.1.0/24 között.
ciscoasa (config) # statikus (DMZ, kívül) 100.1.1.0 10.0.0.0 netmask 255.255.255.0
A DMX-ben lévő 10.0.0.0/24 alhálózaton lévő kiszolgáló címről származó csomagok a külső interfészen lévő 100.1.1.0/24 alhálózathoz tartozó gazdaszámítógépre lesznek lefordítva (pl. A 10.0.0.20 állomás lefordítódik 100.1.1.20-ra) .
Egy nagyon gyakori forgatókönyv a fenti diagramon látható. Tegyük fel, hogy csak egy nyilvános IP-címe van (100.1.1.1), de két (vagy több) szerverünk van, amelyekhez nyilvános hozzáférést kell biztosítani. Tudjuk, hogy webszerverünk a 80-as portra figyel és az e-mail szerverünk figyeli a 25. portot. A 100.1.1.1 80-as portot érintő összes bejövő forgalom átirányítható a tűzfalra a 10.0.0.1 80-as portra, és minden forgalom a 100.1.1.1 címmel a 25-ös port átkerül a 10.0.0.2 port 25-re.
A port átirányítás parancsformátuma a következő:
ciscoasa (config) # statikus (real_interface_name, mapped_interface_name) [tcp | udp] "mapped_IP" "mapped_port" "real_IP" "real_port" netmask "subnet_mask"
A fent említett példaprogramban a hálózati topológia esetében a port átirányítási parancsok a következők:
ciscoasa (config) # statikus (DMZ, külső) tcp 100.1.1.1 80 10.0.0.1 80 netmaszk
255.255.255.255
ciscoasa (config) # statikus (DMZ, külső) tcp 100.1.1.1 25 10.0.0.2 25 netmask
255.255.255.255
Most mi van, ha két webszerverünk van, amelyek mindketten hallgatják a 80-as portot? Beállíthatjuk a tűzfalat, hogy átirányíthasson egy másik, nyilvánosan leképezett portot (például 8080-at) a második webszerverünkre.
Használhatjuk a Port átirányítás funkciót egy jól ismert port lefordításához egy kevésbé ismert porthoz, vagy fordítva. Ez segít a biztonság növelésében. Például megmondhatja a webfelhasználóknak, hogy csatlakoznak egy kevésbé ismert 5265-es porthoz, majd fordítsák őket a helyes 80-as portra a helyi hálózaton.
AZONOSÍTÓ NAT (NAT 0 COMMAND)
Érdemes megemlíteni egy másik típusú NAT mechanizmust, az úgynevezett Identity NAT (vagy nat 0). Ha engedélyezte a nat-vezérlést a tűzfalon, akkor kötelező, hogy a biztonsági eszközön átnyúló összes csomagnak meg kell felelnie egy fordítási szabálynak (akár nat / globális vagy statikus nat szabályoknak). Ha néhány házigazdát (vagy egész hálózatot) akarunk átadni a tűzfalon fordítás nélkül, akkor a nat 0 parancsot kell használni. Ez átlátható leképezést hoz létre. Ha az azonosító NAT-t egy interfészen használják, akkor az ezen a felületen lévő IP-címek le vannak fordítva minden alsó biztonsági interfészre.
Ábrák;
Egy nagyon gyakori forgatókönyv a fenti diagramon látható. Tegyük fel, hogy csak egy nyilvános IP-címe van (100.1.1.1), de két (vagy több) szerverünk van, amelyekhez nyilvános hozzáférést kell biztosítani. Tudjuk, hogy webszerverünk a 80-as portra figyel és az e-mail szerverünk figyeli a 25. portot. A 100.1.1.1 80-as portot érintő összes bejövő forgalom átirányítható a tűzfalra a 10.0.0.1 80-as portra, és minden forgalom a 100.1.1.1 címmel a 25-ös port átkerül a 10.0.0.2 port 25-re.
A port átirányítás parancsformátuma a következő:
ciscoasa (config) # statikus (real_interface_name, mapped_interface_name) [tcp | udp] "mapped_IP" "mapped_port" "real_IP" "real_port" netmask "subnet_mask"
A fent említett példaprogramban a hálózati topológia esetében a port átirányítási parancsok a következők:
ciscoasa (config) # statikus (DMZ, külső) tcp 100.1.1.1 80 10.0.0.1 80 netmaszk
255.255.255.255
ciscoasa (config) # statikus (DMZ, külső) tcp 100.1.1.1 25 10.0.0.2 25 netmask
255.255.255.255
Most mi van, ha két webszerverünk van, amelyek mindketten hallgatják a 80-as portot? Beállíthatjuk a tűzfalat, hogy átirányíthasson egy másik, nyilvánosan leképezett portot (például 8080-at) a második webszerverünkre.
Használhatjuk a Port átirányítás funkciót egy jól ismert port lefordításához egy kevésbé ismert porthoz, vagy fordítva. Ez segít a biztonság növelésében. Például megmondhatja a webfelhasználóknak, hogy csatlakoznak egy kevésbé ismert 5265-es porthoz, majd fordítsák őket a helyes 80-as portra a helyi hálózaton.
AZONOSÍTÓ NAT (NAT 0 COMMAND)
Érdemes megemlíteni egy másik típusú NAT mechanizmust, az úgynevezett Identity NAT (vagy nat 0). Ha engedélyezte a nat-vezérlést a tűzfalon, akkor kötelező, hogy a biztonsági eszközön átnyúló összes csomagnak meg kell felelnie egy fordítási szabálynak (akár nat / globális vagy statikus nat szabályoknak). Ha néhány házigazdát (vagy egész hálózatot) akarunk átadni a tűzfalon fordítás nélkül, akkor a nat 0 parancsot kell használni. Ez átlátható leképezést hoz létre. Ha az azonosító NAT-t egy interfészen használják, akkor az ezen a felületen lévő IP-címek le vannak fordítva minden alsó biztonsági interfészre.
Ábrák;
Nincsenek megjegyzések:
Megjegyzés küldése