Cisco ASA Firewall Guia Prático

Transcrição

1 Cisco ASA Firewall Guia Prático 2014 v1.0 Renato Pesca

2 1 Sumário 2 Topologia Preparação do Appliance Configurações de Rede Configurações de Rotas Root Básico CLI no ASDM Gerenciador de Arquivos Licença do Appliance Integração entre Redes Sincronismos Utilizados Objetos Network Objects/Groups Service Objects/Groups NAT Tipos de NAT Verificação de NAT na CLI Estado das Conexões ACL Global Access Lists Public Servers Features Backup e Restore Backup Restore Troubleshooting... 35

3 2 Topologia Figura 1: Topologia 3 Preparação do Appliance Nesta seção adicionamos o mínimo de configuração necessária para acesso remoto. Conectando via console, temos acesso global ao equipamento: Figura 2: Acesso global em modo texto O comando show permite a realização de diversas verificações que o auxiliarão na resolução de um problema. Segue abaixo um exemplo:

4 Figura 3: Mostra conteúdo da memória flash Outro exemplo de comando relevante é o show bootvar, que mostrará os arquivos de configuração durante o boot: Figura 4: Variáveis de boot A configuração descrita abaixo prepara o appliance para acesso remoto via ASDM: Figura 5: Configuração de acesso remoto Observe que os comandos são bem próximos daqueles executados em roteadores. Atente-se que cada interface recebe um nome e um ID relacionado à sua segurança (quanto maior o ID, maior segurança associada à interface). O comando http server enable ativa o acesso remoto via ASDM, e o http externa significa que poderemos acessar o appliance

5 de qualquer rede ( / ) a partir da interface externa para administrá-lo. Um usuário foi criado para isso, no caso, cisco. Baseados em nossa topologia, acessaremos a interface de administração pela primeira vez em onde poderemos baixar o ASDM e instalar na estação (você deve ter o privilégio de administrador para isso) ou executá-lo sem instalar (dependendo das políticas de segurança de sua organização pode ser necessário solicitar liberação da execução deste programa). Utilizando o usuário cisco você será conduzido à seguinte interface: Figura 6: Tela inicial da interface de administração Caso seja necessário adicionar mais usuários, isso pode ser feito em Configuration >> Device Management >> Users/AAA >> User Accounts, conforme figuras 7 e 8.

6 Figura 7: Criação de usuário, etapa 1 Figura 8: Criação de usuário, etapa 2 Atente-se de que um usuário só terá permissão para login via SSH caso seja marcada a opção correspondente.

7 3.1 Configurações de Rede Estão disponíveis em Device Setup >> Interfaces, conforme figura 9. O comando show interfaces apresenta as mesmas informações em linha de comando, logicamente de forma menos amigável. Figura 9: Configurações de interface Até agora só tínhamos configurado a interface para acesso remoto via interface gráfica. A partir do momento em que já temos este acesso podemos configurar as outras interfaces: interna e dmz, cada uma com seu respectivo Security Level. Em geral, o Security Level de interfaces para a rede interna é o maior possível (100). O da rede dmz pode ser ajustado para 50. Para o Cisco ASA, por padrão o fluxo de dados entre interfaces é permitido quando o Security Level da interface origem dos dados é maior do que o da interface destino.

8 3.2 Configurações de Rotas Acessíveis no caminho Device Setup >> Routing >> Static Routes. Caso seja necessário adicionar uma rota, proceda com a tarefa em Device Setup >> Routing >> Static Routes >> Add. Figura 10: Rotas estáticas configuradas

9 Figura 11: Configuração de rota estática Em geral, em Options, você pode deixar o padrão marcado (None). 3.3 Root Básico Em Device Management >> System Image/Configutation >> Boot Image/Configuration >> Add é possível localizar a imagem do ASDM.

10 Figura 12: Localização de imagem do ASDM Figura 13: Selecionando uma imagem de ASDM para o boot

11 3.4 CLI no ASDM O print de tela nem sempre é a melhor alternativa para obter uma informação solicitada. A interface gráfica permite que o usuário tenha acesso à linha de comando em Tools >> Command Line Interface (single line ou multiline). Por exemplo, é possível obter a saída do comando show running-config a partir da janela como se estivesse conectado ao equipamento via console (figura 14, 15 e 16). Figura 14: Acessando a janela de execução de comandos a partir da interface gráfica

12 Figura 15: Janela de execução de comandos a partir da interface gráfica Figura 16: Saída do comando "show running-config" executado a partir da interface gráfica

13 3.5 Gerenciador de Arquivos Caso seja necessário gerenciar imagens ou arquivos no appliance, pode-se utilizar o gerenciador de arquivos atrelado à interface em vez de executar os comandos de transferência (que em geral utilizam tftp e/ou ftp) via console. Este acesso se dá através de Tools >> File Management. As figuras 17 e 18 demonstram a utilização. Figura 17: Acessando o Gerenciador de Arquivos

14 Figura 18: Utilizando o Gerenciador de Arquivos 4 Licença do Appliance Acessível através de Device Management >> Licensing >> Activation Key.

15 Figura 19: Licenças Disponíveis 5 Integração entre Redes O firewall é orientado a objetos, que podem ser habilitados e desabilitados. Uma regra de firewall consiste de um objeto composto de outros objetos. Exemplo: endereço IP origem (objeto), endereço IP destino (objeto), protocolo de acesso (objeto), porta de acesso (objeto), etc. O tráfego entre as interfaces obedece à prioridade associada à interface (Security Level), de 0 a 100. Por padrão, o tráfego de interfaces de ID maior para ID menor é liberado. 6 Sincronismos Utilizados O Cisco ASA pode utilizar uma base de usuários não necessariamente configurada localmente, como, por exemplo, LDAP, TACACS, etc. Ele pode armazenar logs em servidores (Syslog Servers).

16 O equipamento possui buffer de 2096 bytes, constantemente reescrito, para operações de troubleshooting, assim como suporte a SNMP para que seja monitorado de acordo com as necessidades do administrador. 7 Objetos 7.1 Network Objects/Groups Os objetos podem consistir de endereços de rede e grupos de endereços. Para criar um objeto ou grupo de rede, dirija-se à Configuration >> Firewall >> Objects >> Network Objects/Group >> Configuration. Figura 20: Criaçao de objeto de rede

17 Figura 21: Preenchimento dos dados do objeto de rede 7.2 Service Objects/Groups Os objetos podem consistir de serviços de rede e grupos de serviços de rede. Para criar um serviço rede ou grupo de serviços, dirija-se à Configuration >> Firewall >> Objects >> Network Objects/Group >> Configuration.

18 Figura 22: Criação de serviço de rede Figura 23: Preenchimento de dados de um serviço de rede

19 Figura 24: Criação de um grupo de serviços de rede. Observe que você pode adicionar vários protocolos ao grupo recém-criado (Members in Group) 8 NAT As regras de NAT podem ser visualizadas em Configuration >> Firewall >> NAT Rules. Com base na topologia apresentada, será criado um NAT para cada IP VIP, redirecionando todo o tráfego (ou parte dele) para um IP na rede abaixo (rede LAN).

20 Figura 25: Caminho para criação de regra de NAT Figura 26: Criação de regra de NAT

21 Figura 27: Configuração de regra de NAT Observe bem os campos Source Interface, Destination Interface, Source Address, Destination Address e os campos para o pacote traduzido (Translated Packet). As possibilidades de transformação de pacotes são múltiplas dependendo da topologia em operação e da necessidade em questão. 8.1 Tipos de NAT NAT pressupõe tabelas de mapeamento. Ele pode ser estático ou dinâmico. A diferença pode ser explicada da seguinte maneira: suponha que você está realizando uma conexão de sua rede interna para o Google na porta 80 (onde sua rede interna possui numeração inválida, digamos, /24, onde sua máquina possui o IP ). A conexão é dada pela tupla :8000 >> :80. Quando você envia esta requisição, o firewall, que possui IP público, é quem vai realizar a conexão com o Google e repassar os resultados a você.

22 Portanto, ele realiza um mapeamento para saber para quem enviar a resposta do Google. Em um NAT dinâmico, o firewall escolherá uma porta alta de si mesmo para realizar esta conexão (digamos que ele tem o IP público ): :45000 >> :80, e quando ele receber a resposta, ele alterará o IP destino do pacote de resposta (que no caso é o próprio firewall), para o IP de sua máquina interna ( ), como por exemplo: :80 >> :8000. Se o NAT fosse estático, o firewall respeitaria as conexões conforme a sua porta alta local, ou seja, abriria conexão com o Google utilizando o IP dele e a porta alta Verificação de NAT na CLI As regras visualizadas em Configuration >> Firewall >> NAT Rules podem ser igualmente obtidas via console/ssh com o comando show nat. Figura 28: Verificação de regras de NAT via linha de comando 8.3 Estado das Conexões Já a obtenção dos estados das conexões traduzidas é mais eficientemente obtida através do acesso em modo texto utilizando o comando show xlate.

23 9 ACL Acrônimo de Access Control List ou Lista de Controle de Acessos. Representam efetivamente as regras de firewall do Cisco ASA. Também constitui um objeto composto por outros objetos, como informado na seção 5. As ACLs podem ser visualizadas em Configuration >> Firewall >> Access Rules. A verificação de ACL em conjunto com a rotina de log do ASDM é extremamente útil durante um troubleshooting. Figura 29: ACLs

24 Figura 30: Criação de ACL Figura 31: Configuração de ACL

25 9.1 Global Access Lists É uma classe de ACL que abrange todas as interfaces do Cisco ASA. Observação: lembre-se de que na seção anterior uma ACL podia definir a interface de entrada de um pacote (campo Interface), e que uma regra de NAT possui recurso para que sejam definidas a entrada e saída do pacote. As Global Access Lists podem ser visualizadas em Configuration >> Firewall > Global Rules. Este tipo de ACL deve ser usada com prudência, pois o seu uso indiscriminado tornará o appliance desorganizado e difícil de administrar. Figura 32: Criação de Global Access List

26 Figura 33: Configuração de Global Access List recém-criada 10 Public Servers O conceito de Public Server define o acesso externo a hosts internos usando um IP da interface externa (outside). Não deixa de ser um recurso de NAT embutido no Cisco ASA para facilitar a vida do administrador. Para acessar o recurso dirija-se a Configuration >> Public Servers.

27 Figura 34: Criação de Public Server Figura 35: Configuração de Public Server

28 11 Features O Cisco ASA possui também as seguintes capacidades: Proxy Transparente Bridge Tratamento de tráfego com QoS Inspection de pacotes, liberando o pacote ou não de acordo com a checagem correlata. 12 Backup e Restore 12.1 Backup O modo de configuração com assistente nos possibilita fazer backup de um ambiente para, posteriormente, recuperá-lo caso necessário. O backup pode ser feito por partes, porém recomendamos o full.

29 Figura 36: Backup acessível através de Tool >> Backup Configuration Figura 37: Backup personalizado, onde seleciona-se somente o que se quer guardar

30 Figura 38: Definição de arquivo de backup, com extensão zip Figura 39: Geração de backup personalizado

31 Figura 40: Conclusão de backup personalizado 12.2 Restore O restore do running-config é simples (vide figura 29) e injetável no appliance através do gerenciador de arquivos (seção 3.5). O restore do backup completo, que deve ser gerado com a extensão zip, pode ser efetuado através da interface gráfica do mesmo modo que o backup full.

32 Figura 41: Restore acessível em Tools >> Restore Configurations Figura 42: Seleção de arquivo de backup a ser restaurado

33 Figura 43: Seleção de backup a ser restaurado para o appliance (extensão zip) Figura 44: Definição dos itens a serem restaurados

34 Figura 45: Aviso de restauração sobre o que pode acontecer com as configurações vigentes Figura 46: Processo de restauração concluído

35 13 Troubleshooting O CLI, logging, traceroute e Packet Tracer são boas ferramentas de análise. O Packet Tracer faz análise de uma origem para um destino e vice-versa, descrevendo todo o trajeto do pacote e a influência de cada regra sobre ele. Quando o pacote é liberado o indicador é exibido na cor verde, caso contrário, na cor vermelha. Lembre-se de que uma regra de NAT pode modificar a origem e/ou destino de um pacote de modo que ele não seja aceito em alguma etapa do curso que percorrido, o que pode ser detectado facilmente com a ferramenta Packet Tracer. A ferramenta de logging é acessível em Monitoring >> Logging >> View, onde o filtro desejado pode ser configurado. Ping e traceroute são ferramentas comuns na maioria dos sistemas unix like, acessíveis em Tools >> Ping e Tools >> Traceroute, respectivamente.

36 Figura 47: Acesso ao Packet Tracer Figura 48: Exemplo de uso do Packet Tracer

37 Figura 49: Acessando o Logging Figura 50: Exemplo de uso do Logging

38 Figura 51: Acessando o Traceroute Figura 52: Exemplo de uso do Traceroute

39 Figura 53: Acessando o Ping Figura 54: Exemplo de uso do Ping