Pratica de Arquitetura DMZ Cisco ASA 5505
Cenário www.johnhouse.com
Configuração Default config factory-default VLAN1: INSIDE Ethernet 0/1 até 0/7 NAT => 192.168.1.2 até 192.168.1.36 VLAN2: OUTSIDE Ethernet 0/0 IP configurado por DHCP Eth0/0 outside Eth0/1 até Eth0/7 inside PERMISSÕES DEFAULT inside (SECURITY LEVEL 100) pode acessar outside (SECURITY LEVEL 0) mas não o contrário
1) Configuração do Roteador ISP enable configure terminal interface Gi0/0 ip address 200.0.0.1 255.255.255.0 no shutdown exit interface Gi0/1 ip address 8.8.8.1 255.0.0.0 no shutdown exit
2) Configuração dos Computadores Externos
3) Configuração do DNS externo
4) Configuração do Servidor Web Google <HTML><H1> BEM VINDO AO SERVIDOR DO GOOGLE </H1></HTML>
5) Configuração do ASA 5505 (Parte 1) configure terminal no dhcpd auto_config outside dhcpd dns 8.8.8.8 interface inside interface Vlan2 nameif outside security-level 0 ip address 200.0.0.2 255.255.255.0 exit route outside 0.0.0.0 0.0.0.0 200.0.0.1 end OBS. Você precisa digitar enable antes de aplicar esse script. Digite <ENTER> para password
Security Level REDE INTERNA SECURITY LEVEL 100 ASA X OUTSIDE SECURITY LEVEL 0 POR DEFAULT O TRÁFEGO NÃO PODE FLUIR DE UMA ÁREA DE SECURITY LEVEL MAIOR PARA MENOR DMZ SECURITY LEVEL 50 X PARA PERMITIR O TRÁFEGO DE RETORNO É NECESSÁRIO CRIAR REGRAS DE NAT E ACL
Verifique a configuração dos computadores
5) Configuração do Servidor da DMZ www.johnhouse.com <HTML><H1> BEM VINDO AO SERVIDOR DA DMZ </H1></HTML>
Relatório Parte 1 1. Os computadores consegue acessar o DNS (8.8.8.8)? Qual a razão para não haver acesso? OBS. utilize o modo simulador para fazer o diagnóstico. TESTE 1: um dos PCs -ping 8.8.8.8 -nslookup www.google.com 2. Adicione os comandos abaixo e repita o teste. Essa configuração resolveu o problema? Se não, qual é o problema agora? ciscoasa# configure terminal ciscoasa(config)# object network inside-subnet ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config-network-object)# end TESTE 2: um dos PCs -nslookup www.google.com
7) Configuração do ASA 5505 (Parte 2) configure terminal access-list 101 extended permit icmp any any echo-reply access-list 101 extended permit udp any eq domain any access-list 101 extended permit tcp any eq www any access-group 101 in interface outside end SINTAXE: access-list NUMERO extended permit PROTOCOLO ORIGEM [eq PORTA] DESTINO [eq PORTA]
Relatório Parte 2 1. Os computadores A e B conseguem pingar o DNS 8.8.8.8? ping 8.8.8.8 2. Os computadores conseguem resolver nomes? nslookup www.google.com 3. Os computadores A e B tem acesso HTTP? No browser: www.google.com/teste.html 4. O DNS consegue pingar os computadores A e B? 5. Interprete as regras criadas no passo 6)
8) Configuração dos Servidores (Inside e DMZ)
9) Configuração do ASA 5505 (Parte 3) configure terminal interface Ethernet 0/6 switchport access vlan 3 exit interface vlan3 no forward interface vlan1 nameif dmz security-level 50 ip address 192.168.3.1 255.255.255.0 exit object network webserver host 192.168.3.100 nat (dmz,outside) static 200.0.0.2 exit configure terminal object network dmz-subnet subnet 192.168.3.0 255.255.255.0 nat (dmz,outside) dynamic interface end
Relatório Parte 3 1. Verifique se o cliente externo consegue acessar o servidor www.johnhouse.com 2. Utilizando o modo simulador, faça o diagnóstico do problema 3. Verifique se o cliente interno (A ou B) consegue acessar o servidor na dmz www.johnhouse.com 4. Utilizando o modo simulador, faça o diagnóstico do problema OBS. Devido a uma limitação de licença a DMZ não pode encaminhar pacotes para rede INTERNA no forward interface Vlan1
10) Configuração do ASA 5505 (Parte 4) configure terminal access-list 101 extended permit tcp any host 192.168.3.100 eq www access-list 101 extended permit tcp any host 200.0.0.2 eq www access-group 101 in interface outside end