Cisco ASA 5500 Config Guidecfs8.tistory.com/upload_control/download.blog?fhandle... ·...

1

Cisco ASA 5500 Configuration GuideDocument Version 0.9 (ASA 7.0.4 / ASDM 5.0.4)

2

ASA 5500 Series 제품 소개

3

Cisco ASA 5510 Adaptive Security Appliance

All-in-One Enterprise / SMB Head-End Security/VPN Gateway

동시 접속 Session 64,000

200-Mbps 성능

256-MB RAM

최대 10 개 VLAN 지원

Active/Active FO 지원 불가

100-Mbps VPN 성능지원

150 IPSec VPN Peers 지원

SSL VPN 지원

SSM (IPS Service Module)을 통한 100-Mbps IPS성능 지원

4



동시 접속 130,000

200-Mbps 성능

512-MB RAM

최대 10개 Virtual Firewall 지원

최대 25개 VLAN 지원

active/active failover 지원

200-Mbps VPN 성능 지원

750 IPSec VPN Peers 지원

SSL VPN 지원


5



동시 접속 280,000

400-Mbps 성능

1024-MB RAM

최대 50개 Virutual Firewall 지원

50 VLANs

active/active failover 지원

360-Mbps VPN 성능 지원

5,000 IPSec VPN Peers 지원

2500 SSL VPN Connections 지원


6

Cisco ASA 5510, 5520, 5540 PlatformsKey Platform Metrics

FeaturesASA 5510(► Sec Plus)

ASA 5520ASA 5520VPN Plus

ASA 5540ASA 5540VPN Plus

100 / 200 Mbps

50 / 100 Mbps

100 Mbpswith SSM-AIP 10

32,000 ► 64,000

50 ► 150

Shared

VPN Clustering / Load Bal. No Yes Yes Yes Yes Yes

High Availability None ► A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S

3 x 10/100 + OOB► 5 10/100

No

0 ► 10

PIX 515E R/DMZ

200 / 400 Mbps

VPN 3005-

100 / 200 Mbps

400 / 550 Mbps

200 / 360 Mbps

Real World IPS Throughput(500 Byte)






Comparable PIX Model PIX 515E UR PIX 515E UR PIX 525+ PIX 525+ PIX 525+

Comparable VPN3K Model VPN 3005++ VPN 3020 VPN 3015 VPN 3030 VPN 3060

280,000

2,000

Shared, up to 1,250

4 x 10/100/1000,1 10/100

Up to 50

130,000

750

Shared

100

4 x 10/100/1000,1 10/100

Up to 10

ASA 5540VPN Premium

Real World Firewall Throughput(300 / 1400 Byte)

200 / 400 Mbps

25

400 / 550 Mbps400 / 550 Mbps

200 / 360 Mbps

280,000

500

Shared

Interfaces4 x 10/100/1000,

1 10/1004 x 10/100/1000,

1 10/1004 x 10/100/1000,

1 10/100

VLANs Supported 25 100 100

200 / 360 Mbps

280,000

5,000

Shared, up to 2,500

Up to 50 Up to 50

SSL VPN Connections Shared

Security Contexts Up to 10

Real World VPN Throughput(300 / 1400 Byte)

100 / 200 Mbps

S2S and IPSec RA VPN Peers 300

130,000Maximum Connections

Real Traffic 환경 / 모든 Security Service Running / Logging Enable 환경

ASA 5500 Intro 666© 2004 Cisco Systems, Inc. All rights reserved.

7

왜 ASA 5500 입니까?

8

왜 Cisco ASA 입니까?

1.업계 최고의 통합 보안 장비 !!!가장 이상적인 통합 보안 장비를 제공하여 드립니다.

하나의 장비에서 방화벽, IPSec VPN, SSL VPN, IPS/IDS, Anti-x 방어 제공

2.높은 신뢰성 보안 기술 제공!!!검증된 보안 기술을 바탕으로 통합 보안 기술을 구현 합니다.

보안 시장 점유율 1위의 시스코 보안 기술 – Cisco Pix 7.0 , VPN 4.7, IPS 5.0

3.강력한 네트워킹 서비스 !!!네트워킹 서비스를 기반으로한 보안 기술을 제공해 드립니다.

유연한 디자인 구성 -Routing Protocol 완벽 지원, Multicast 지원

완벽한 통합 보안 구현을 위한Cisco Security 신형 엔진 ASA 5500

9

왜 Cisco ASA 입니까?

4.가용성 높은 디자인 구성!!!

Active/ Active Failover 구성을 통한 가용성 극대화

Acitve / Active 구성을 통한 구성의 단순화 및 가용성 극대화 구현

5.가상화 서비스 구현 !!!가상 방화벽 서비스를 통한 차별화된 보안 정책 서비스 제공

가상 방화벽 구현을 통한 다양한 보안 정책 서비스 제공

6.심도 깊은 보안 서비스 제공 !!!

Application Level의 보안 서비스 제공

Application Inspection 방화벽 기능과 IPS 의 유기적 결합

완벽한 통합 보안 구현을 위한Cisco Security 신형 엔진 ASA 5500

10

기본 환경 설정

11

CLI 기반의 초기 설정 모드

Pre-configure Firewall now through interactive prompts [yes]? Firewall Mode [Routed]: Routed Mode(Layer 3) 또는 Bridge(Transparent-Layer2) Mode 지정Routed Mode 시 반드시 NAT 구성을 해야 하며, Network 변경이 필요하지만, Transparent 모드는네트워크 구성이 없음

Enable password [<use current password>]: cisco패스워드 구성

Allow password recovery [yes]? 패스워드 복구 기능을 활성화 시킬 것인지 정의

Clock (UTC):Year [2005]: Month [Nov]: Day [2]: Time [01:14:54]: 17:48:00System Clock 정의

Inside IP address: 192.168.1.1Inside network mask: 255.255.255.0Host name: ASAInside IP Address 정의 및 Host 이름 정의

Use this configuration and write to flash? YesSetup 모드에서 구성한 Config 저장 여부

초기초기 설치설치 시에는시에는 Setup Setup 모드모드 지정지정 후후 Inside (Gigabit0/1) Inside (Gigabit0/1) 를를 통해통해 ASDMASDM으로으로 바로바로 접속접속 가능가능

12

기본 환경 설정Inside Interface or Management Interface 설정

Management 용 Interface 설정하기Interface Management0/0

no shutdowndescription Interface for Managementnameif Mgmt-Interfacemanagement-only

Management 용으로만 사용 할 경우 설정ip address 1.1.1.1 255.255.255.0

Mgmt 용 IP Address 정의

Management 용 InterfaceInterface 이름 - Management0/0용도 – Out Of Band 관리용, Failover Interface

통신용 InterfaceInterface 이름 – GigabitEthernet0/0 ~3용도 – 내,외부,서버팜 구성, Failover 등 구성 가능

Console, Aux 용 Interface 용도 – console 접속 및 Aux를 통한 접속용

13

기본 환경 설정Inside Interface or Management Interface 설정

외부 접속용 Interface(Outside) 정의Interface GigabitEthernet0/0

no shutdownnameif outside

Internet 접속용 Interface 정의security-level 0

외부에서 들어오는 Interface 이므로 보안 등급이 가장 낮게 정의 “0”ip address 10.10.10.1 255.255.255.0

외부 접속용 IP Address 정의

내부 접속용 Interface(Inside) 정의interface GigabitEthernet0/1

nameif inside내부 Network을 위한 interface 정의

security-level 100내부 Network 이므로 가장 높은 보안 등급 정의 “100”

ip address 192.168.1.1 255.255.255.0 interface GigabitEthernet0/2description interface for LANnameif inside-2

내부 Network 가운데 다른 네트워크 추가 정의 가능 (보안 등급 0~100)security-level 100ip address 20.20.20.1 255.255.255.0

Same-Security-Level 정의same-security-traffic permit inter-interface

두개이상의 서로 다른 nameif를 가진 물리적 인터페이스가 동일한 보안 등급(Security-level)을 가질경우 Same-Security-level 정의를 통한 구성 가능

14

기본 환경 설정ASA Firmware 및 ASDM Loading

ASA Firmware Upload 하기ASA# copy ftp://[email protected]/asa704-k8.bin disk0:

기본적으로 장비에 이미 내장되어 있음

ASA 운영을 위한 ASDM Upload 하기ASA# copy ftp://[email protected]/asdm504.bin disk0:

기본적으로 장비에 이미 내장되어 있음

다중 Firmware 구성시 Boot 환경 설정ASA(config)# boot system disk0:asa704-k8.bin

ASA# sh bootvarCurrent BOOT variable = disk0:/asa704-k8.bin

Disk0: 의 정보 확인

ASA# dirDirectory of disk0:/2706 -rw- 1589 00:06:14 Oct 10 2005 old_running.cfg2707 -rw- 1009 00:06:14 Oct 10 2005 admin.cfg2709 -rw- 1318 15:17:08 Jul 25 2005 c-a.cfg2711 -rw- 2167 00:30:14 Oct 16 2005 logo.gif2712 -rw- 5437440 19:07:04 Nov 02 2005 asa704-k8.bin4040 -rw- 5958324 19:08:22 Nov 02 2005 asdm504.bin

15

기본 환경 설정ASDM/ Telnet 접속을 위한 기본 설정

ASDM 접속을 위한 기본 구성ASA(config)# http server enable

Web Service Enable

ASA(config)# http 192.168.0.0 255.255.0.0 inside웹 서비스를 접속 할 수 있는 Network 정의

ASA(config)# asdm image disk0:/asdm504.binASDM image가 있는 디스크 URL 정의

Telnet 접속을 위한 기본 구성ASA(config)# telnet 0.0.0.0 0.0.0.0 insideTelnet 이 가능한 Network 정의

Inside Network 접속 유무 Check 를 위한 ICMP 허용ASA(config)# icmp permit any inside

Inside Interface Ping Test 허용

16

ASDM 접속하기

17

ASDM 접속https를 통한 접속

https://ipaddress 를 통한 접속1

2

3

SSL 보안 인증서 인증 단계 Yes 선택

설정된 입력한 ID, Password 입력

18

ASDM 접속ASDM 5.0 Launcher Install

Local PC에 ASDM 을 다운로드하여 여러대의ASA 접속이나 다양한 환경에서 접속 용이하게구성 권장

Java Applet 기반의 ASDM 동작 구현ASDM Launcher 권고

19

ASDM 접속Local PC에 ASDM Launcher 설치하기

Local PC에 설치될 디렉토리 정의Download ASDM Launcher and Start ADSM 선택시 설치 과정 진행

20

ASDM 접속Local PC에 ASDM Launcher 설치하기

설치 과정 진행Install 선택을 통한 설치

21

ASDM 접속ASDM Launcher 동작하기

접속 할 ASA 5500의 IP Address 입력과사전 정의된 ID,Password 입력설치 완료 후 ASDM Launcher 프로그램 동작

22

ASDM 접속ASDM Main Menu

1

3

ASA 5500 일반 정보와 License 정보 ASA Interface 정보2

VPN 기본 상태 정보

CPU/Memory 실시간 정보

초당 Connection, Inside Traffic 정보4

ASDM 을 통한 실시간 Syslog 정보

5

23

ASDM 마법사 기능 활용하기

“ Firewall “

24

ASDM 마법사 활용하기Launch Startup Wizard

1

ASDM 방화벽 구성 마법사 기능 시작1

1

25

ASDM 마법사 활용하기Step 1 – Config 구성 시작

ASDM 방화벽 구성 마법사 기능 시작

초기화 구성을 통한 새로운 방화벽 구성하기

Inside Interface의 IP 구성은 변경하지 않는 옵션

1

2

26

ASDM 마법사 활용하기Step 2 – 기본 구성하기

1

2

ASA Host 이름과 도메인 이름 정의

Password 정의

27

ASDM 마법사 활용하기Step 3 – Outside Interface 구성하기

1

2

Outside(외부로 나가는 Traffic)에대한 물리적 정의 및 Interface 이름 정의

Outside interface IP 정의

28

ASDM 마법사 활용하기Step 4 – 다른 Interface 구성하기

1

정의된 Interface들에 대한 기본 속성값 변경 또는 정의

29

ASDM 마법사 활용하기Step 5 – DHCP Server 구성하기

1

내부망 사용자를 위한 DHCP IP 대역 정의

내부망 사용자 DHCP Service를 위한 DNS,Wins,Domain,Lease Time 정의

30

ASDM 마법사 활용하기Step 6 – NAT/PAT 구성하기

1

NAT 사용시 공인 IP 사용 대역 정의

PAT 사용시 공인 IP 또는 Interface 정의

NAT/PAT를 사용하지 않을 경우 정의

2

3

31

ASDM 마법사 활용하기Step 7 – 관리 접근 모드 정의 하기

1

Web 기반, Telnet 기반의 접근 모드 정의- 접근 가능한 IP Address와 Type에 대한 수정 및 추가 가능

32

ASDM 마법사 활용하기Step 8 – 마법사 기능 종료

33

ASDM 마법사 활용하기마법사를 통해 구성된 Config 적용

34

기본 Interface 설정하기

35

ASDM을 통한 기본 Interface 설정하기

Feature 메뉴 Interface 선택

현재 물리적으로 구성되어 있는 Interface 정보 조회

물리적 Interface의 구성 정보 변경 기능

1

23

4

Same-Security-level서로 다른 물리적 인터페이스가 동일한 보안 등급을 가지도록 구성할 경우 활성화

36

ASDM을 통한 기본 Interface 설정하기Management Interface 구성 예제

Interface 활성화 Mgmt용으로만 사용할 것인지…

2 31

4

5

6

Interface 이름 정의

보안 등급 정의 “ 0 ~100 ”

해당 Interface의 IP Address 정의

물리적 인터페이스 속성 변경 가능(Duplex, Speed)

37

ASDM을 통한 기본 Interface 설정하기Outside Interface 구성 예제


2 31

4

5

6


Outside 보안 등급 정의 “ 0 ”



38

ASDM을 통한 기본 Interface 설정하기Inside Interface 구성 예제


2 31

4

5

6


Inside 보안 등급 정의 “ 100 ”



39

ASDM을 통한 기본 Interface 설정하기Interface 설정 후 CLI Command 입력

2

1

구성 변경 후 적용할 내용 확인 가능

구성 변경 적용

40

NAT/PAT 구성하기

41

NAT/PAT 구성 예제 I

192.168.1.10

10.10.10.1020.20.20.1

10.10.10.1

NAT + Real IP 구성 환경

20.20.20.10

192.168.1.1

Cisco ASA 5500 192.168.1.x 대역은

10.10.10.64 ~ 127로 변환

20.20.20.x 대역은내부 IP 그대로 사용

1 일반적인 NAT 구성

192.168.1.x 의 내부 IP Address 대역은 10.10.10.65 ~ 127 대역의 공인 IP Address를사용하여 외부 네트워크에 접속

NAT를 사용하지 않은 공인 IP 구성

20.20.20.x 의 내부 공인 IP address 대역은 NAT를 사용하지 않고 외부와 접속.

2

42

NAT/PAT 구성 예제 ITranslation Rule 정의

Feature 메뉴 NAT 선택

Feature 메뉴 NAT 선택 Translation Rule 선택

새로운 NAT 구성을 위해 Add 버튼 선택

1

2

3

43

NAT/PAT 구성 예제 ITranslation Rule 정의 – NAT 추가 기능

4

Add Browse : NAT 될 내부의 IP Address 선택

Add Browse : NAT 될 내부의 IP Address 선택

56 Add Manage Pools

공인 IP Address로 변환하게 될 Pool선택

44

NAT/PAT 구성 예제 ITranslation Rule 정의 – 공인 IP 대역 설정하기

8

9

공인으로 변환되어 나가는 Interface 설정공인 대역 설정 또는 PAT 설정

Range 설정 시 공인으로 변환될 IP Pool 설정

새로운 공인 IP Address 대역 추가

7

45

NAT/PAT 구성 예제 ITranslation Exemption Rule – NAT를 사용하지 않는 규칙 정의

Feature 메뉴 NAT 선택

Feature 메뉴 NAT 선택 Trans Exe Rule 선택

새로운 No NAT 구성을 위해 Add 버튼 선택

1

2

3

46

NAT/PAT 구성 예제 ITranslation Exemption Rule – NAT를 사용하지 않는 규칙 정의

No Nat 적용 여부 “Exempt “ 적용

NAT 가 적용되지 않을Interface / IP 대역 설정

NAT가 제외될Outbound Traffic 에 대한 정의

4

5 6

47

NAT/PAT 구성 예제 ICLI 를 통한 구성 방법

CLI 기반의 NAT 구성 예제

Inside Interface의 192.168.1.x Network이 외부 네트워크(Outside)로 갈 때, 10.10.10.65 ~ 10.10.10.126 대역의 IP Address 를 사용하여 구성.

global (outside) 1 10.10.10.65-10.10.10.126 netmask 255.255.255.192

nat (inside) 1 192.168.1.0 255.255.255.0

Inside2 Interface의 20.20.20.x Network 이 외부 네트워크(Outside)로 갈 때,자신의 IP address를 그대로 사용하여 구성.

access-list inside-2_nat0_outbound line 1 remark No-NAT for Inside-2 to Outside

ACL에 대한 Description 정의

access-list inside-2_nat0_outbound line 2 extended permit ip 20.20.20.0 255.255.255.0 any

ACL에 대한 정책 정의

nat (inside-2) 0 access-list inside-2_nat0_outbound

NAT (xxx) 0 의 의미는 No-NAT.

이미 ACL에서 정의된 대역을 선언

Translation Table MonitoringASA# sh xlate1 in use, 1 most usedGlobal 10.10.10.65 Local whchoi

whchoi(192.168.1.10) IP Address가 10.10.10.65 로 Translation 되고 있는 상황 모니터링.

48

NAT/PAT 구성 예제 IIPort Redirection

Server는 사설을 그대로 사용외부에 Telnet Service만 사용

10.10.10.1

NAT + Real IP 구성 환경

Inside 192.168.1.1

Cisco ASA 5500

외부에서 10.10.10.200 으로telnet 시도

외부에서 10.10.10.201로FTP 시도Server는 사설을 그대로 사용

외부에 FTP Service만 사용

192.168.3.1

192.168.3.33

Port Redirection을 통한 보안 강화 (Proxy 기능)

1. 외부에서는 방화벽에 미리 정의된 공인 IP로 특정 서비스 접속 시도

2. 방화벽에서 자동적으로 Redirection 구현

보안 강화를 위한 목적으로 많이 사용

대표적 예 – 외부에서 공인 IP 80 포트로 접속하면, 자동으로 사설 IP 8080 포트 접속

49

NAT/PAT 구성 예제 IIPort Redirection 구성

Port Redirection Rule 구성을 위한 기본

1

1

1

2

Port Redirection Rule 구성 후 Display 화면

50


1

2

NAT Source Address 구성

변환될 IP Address 주소와 Redirection 될Service Port 정의

51


1

2

NAT로 Translation 되는 내부 Server에최대 접속할 수 있는 TCP와 UDP Connection강제 지정- TCP, UDP별 분류 지정 가능

TCP 3-way 상태 중 Half-open 상태의embryonic wqjthrdl 특정 이상 Connction강제 지성-특정 Server로 Syn Flooding Attack 방어가능

52

NAT/PAT 구성 예제 IICLI 기반의 Port Redirection 구성

CLI 기반의 Port Redirection 구성 예제

Inside Interface의 192.168.3.x Network이 외부 네트워크(Outside)로 갈 때, 10.10.10.65 ~ 10.10.10.126 대역의 IP Address 를 사용하여 구성.

global (outside) 1 10.10.10.65-10.10.10.126 netmask 255.255.255.192

nat (inside) 1 192.168.3.0 255.255.255.0

Inside2 Interface의 20.20.20.x Network 이 외부 네트워크(Outside)로 갈 때,자신의 IP address를 그대로 사용하여 구성.

static (inside,outside) tcp 10.10.10.200 telnet 192.168.3.1 telnet netmask 255.255.255.255외부 네트워크에서 10.10.10.200 으로 Telnet 을 시도할 경우 192.168.3.1로 Telnet Translation

static (inside,outside) tcp 10.10.10.201 ftp 192.168.3.33 ftp netmask 255.255.255.255 외부 네트워크에서 10.10.10.201 로 FTP를 시도할 경우 192.168.3.33 으로 FTP Translation

Optional ACL – 옵션으로 ACL을 통한 필터링 규칙 사용 가능Access-list inside extended permit ip any anyAccess-list outside-redirection extended permit tcp any host 10.10.10.200 eq telnetAccess-list outside-redirection extended permit tcp any host 10.10.10.201 eq ftp

53

NAT/PAT 구성 예제 IICLI 기반의 Port Redirection 구성

CLI 기반의 Port Redirection 구성 예제

Translation MonitoringASA-1# sh xlatePAT Global 10.10.10.200(23) Local 192.168.3.1(23) PAT Global 10.10.10.201(21) Local 192.168.3.33(21) PAT를 통해 앞서 정의된 규칙대로 외부에서 10.10.10.200 으로 Telnet 접속시 192.168.3.1로 자동Redirection, 10.10.10.201 로 FTP 접속시 192.168.3.33 으로 자동 Redirection

ASA-1# sh connTCP out 100.100.100.100:5001 in 192.168.3.33:20 idle 0:00:07 bytes 0 flags saATCP out 100.100.100.100:1257 in 192.168.3.33:21 idle 0:00:16 bytes 277 flags UIOBTCP out 100.100.100.100:1261 in 192.168.3.1:23 idle 0:00:02 bytes 91 flags UIOB현재 Connection 상황 분석

Flag 값에 대한 설명A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,E - outside back connection, F - outside FIN, f - inside FIN,G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,i - incomplete, J - GTP, j - GTP data, k - Skinny media, M - SMTP data, m - SIP media, O - outbound data, P - inside back connection,q - SQL*Net data, R - outside acknowledged FIN,R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,s - awaiting outside SYN, T - SIP, t - SIP transient, U - up

54

Filtering 규칙 사용Access-list

55

Filtering 규칙 구성Security Policy Main Menu

Configuration – Service Policy – Access Rule현재 적용되어 있는 보안정책 모니터링,추가,수정,삭제 가능

1

1

1 1

56

Filtering 규칙 구성새로운 보안 정책의 적용

1 2

3

4

5

Action• Select an Action – 허용 또는 거부에 대한 규칙 선언• Apply to Traffic - in/outbound Traffic 선언

Syslog & Time Range• Syslog – ACL에 대한 Syslog 정의• Time Range – 날짜,요일,시간대별 ACL 선언

Source/Destination• Source 또는 Destination Network 에 대한 정의

Rule Flow Diagram• 1,2,3 에서 정의한 보안 정책에 대한 실제 FlowDiagram

Protocol and Service• 보안 정책에 적용할 프로토콜 또는 서비스를 정의• 사전에 정의된 Manage Service Group을 통해편리한 관리 가능

1

2

3

4

5

57

Filtering 규칙 구성Manage Service Group 정의

Manage Groups• Manage Group에서 정의할 Service Port 정의• TCP-UDP : TCP/UDP 동시에 사용되는 Range 경우

ADD – 새로운 서비스 추가

Service Group Name• Service Group 에 대한 이름 정의• (예) HTTP-Port ,FTP Port 등 자유롭게 정의 가능

Add Service Range• 이미 정의된 Service Port를 정의해서 사용• Range Port : 특정 Service Port 대역 정의 가능

이용 시 장점•Well Known Service Port 이외의 Port를 정의하여사용할 경우 미리 Service Port 이름을 정의하였기 때문에 관리 및 구성이 매우 용이

1

2

3

4

1

2

3

4

58

Filtering 규칙 구성Manage Service Group 을 통한 보안 정책 정의

59

Filtering 규칙 구성Time Range 정의 – 시간대별 Filtering 규칙

Time Range Name – 시간대별 ACL 이름 정의1

ACL 적용 시작 시간 정의 ACL 적용 종료 시간 정의

특정 시간,요일,기간에 적용할 경우 정의

2 3

4

60

Filtering 규칙 구성Time Range 정의 – 특정 주기 시간대별 Filtering 규칙

주별 특정 주기를 선정하여 ACL을 동작- 매일 , 주일(월~금),주말(토~일), 특정 요일

1

주별 특정 시간을 선정하여 ACL을 동작- 매일 시작 시간과 종료시간

매주 특정 요일을 선택 하여 ACL 동작- (예) 월요일 특정 시간 부터 수요일 특정 시간까지

2

3

61

Filtering 규칙 구성특정 호스트,네트워크에 대한 이름 정의

Config – Buliding Blocks – Host/Network특정 호스트,네트워크에 대한 이름 정의

62

Filtering 규칙 구성특정 호스트,네트워크에 대한 이름 정의

Config – Buliding Blocks – Host/Network특정 호스트,네트워크에 대한 이름 정의

Host, Network 정의된 host들이 Outside로나갈 때 NAT 정의- Dynamic 또는 Static

21

63

Filtering 규칙 구성특정 호스트,네트워크들에 대한 그룹 정의

특정 Host, Network 그룹 이름 정의

이미 선언된 Host, Network 가운데 선택

정의되지 않은 특정 Host

Add 된 Host 들…

1

2 3

4

64

Filtering 규칙 구성CLI 기반의 ACL 정의

CLI 기반의 ACL 구성 예제

Host Name 정의name 192.168.1.10 whchoi description whchoi's PCname 192.168.3.33 whchoi-33 description whchoi's Notebookname 192.168.3.34 whchoi-34 description whchoi's Desktop

Service 정의object-group service FTP tcp-udpport-object range 20 21Network Group 정의

object-group network whchoi-groupdescription whchoi-groupnetwork-object whchoi-33 255.255.255.255network-object 192.168.3.1 255.255.255.255network-object whchoi-34 255.255.255.255시간대별 ACL 구현을 위한 시간 정의

time-range TFTP-Timeabsolute start 04:59 30 November 2005 end 04:59 02 December 2005periodic weekdays 8:00 to 20:00ACL 정의

access-list outside_access_in extended permit udp any host whchoi eq tftp time-range TFTP-Time access-list outside_access_in extended permit tcp any host whchoi object-group FTP access-list outside_access_in extended deny ip any any log

65

ASA 5500 Device 관리

66

Device Administration

•Device – 장비의 Host 이름과 Domain 정의•Password – 장비 Password 정의•AAA Access – AAA 정책에 의한 정의•User Account – 접속 User Account 정의•Banner – 장비 접속 시 로그인 화면 배너 정의•Console – Console 접속 시 Idle Time 정의•ASDM/HTTPS – ASDM/HTTPS 접속에 대한 속성 정의•Telnet – Telnet Service 정의•Secure Copy – SCP 에 대한 정의•Secure Shell – SSH 속성 정의•Management Access – Management 접근에 대한 정의•SMTP – 장비 Event 발생 시 Email 통지 서버에 대한 정의•ICMP Rules – 장비가 반응하는 ICMP 에 대한 허용/거부 정의•TFTP Server – TFTP Server를 통한 장비 Config를 저장 시키는 속성•Clock – ASA 장비 시간 설정•NTP – NTP를 통한 ASA 장비 시간 동기화 정의•Boot Image/Config – Boot image와 ASDM Path 정의•FTP Mode – Passive FTP 모드 정의•Certificate – Certificate 속성 정의

67

Device Administration Device Host,Domain 및 Password 정의

1 2

ASA Host 이름 및 Domain 이름 정의

Enable Password, Telnet Password 정의

68

Device Administration AAA 정의

인증 권한 계정

Privileged 모드에 대한 인증 요구 활성화

각 Service type별 인증 요구 활성화

1

2

69

Device Administration User Account 정의

Local User DB 를 통한 인증 구성 – IPSec Client VPN, Web VPN Loacl User DB도 여기에서 정의

70

Device Administration Banner 정의

71

Device Administration ASDM/HTTPS 접속 권한 설정

ASDM 접속 Host,Network와해당 Interface들에 대한 정의

HTTP Server Daemon 활성화 HTTP Server Daemon 활성화

1

2

3

72

Device Administration Telnet 접속 권한 설정

Telnet 접속 Host,Network와해당 Interface들에 대한 정의

Telnet Timeout Session 정의

1

2

3

73

Device Administration SSH 접속 권한 설정

SSH Version 정의 및 Timeout 시간 정의

Telnet 접속 Host,Network와해당 Interface들에 대한 정의

1

2

3

74

Device Administration SNMP 속성 설정

75

Device Administration ICMP Rule 설정

Interface 별 ICMP에 대한 반응 Rule에 대한 정의- (예) 특정 Host, Network 별 Inside,Outside

등에서 ICMP에 대한 응답을 할 것인지…

1 2

76

Device Administration 시간대 설정

Time Zone 설정 – GMT +09:00 Seoul

날짜 설정 시간 설정

2

1

3

77

Device Administration Boot Image 와 ASDM Image 지정

Boot Image 지정

1

2

ASDM Image 지정

78

Device Administration CLI 기반 구성

CLI 기반의 Device Administration

Device Host 이름 지정과 Domain name 지정hostname ASA-1domain-name cisco.com

password 지정enable password cisco Enable Password 지정passwd cisco encrypted Telnet Password 지정

Username 속성 정의username cisco password cisco encrypted privilege 2 유저이름과 패스워드 권한 등급 지정clear config username cisco 특정 유저 삭제

console Time Out 시간 정의console timeout 30

ASDM/HTTP 접속 권한 정의http 1.1.1.0 255.255.255.0 Mgmt-Interface http 192.168.1.11 255.255.255.255 inside

Telnet 접속 권한 정의telnet 0.0.0.0 0.0.0.0 outsidetelnet 1.1.1.0 255.255.255.0 Mgmt-Interfacetelnet 0.0.0.0 0.0.0.0 inside

79

Device Administration CLI 기반 구성

CLI 기반의 Device Administration

SMTP Server 지정smtp-server 192.168.3.55

SNMP 속성 지정snmp-server host inside 192.168.1.10 community public version 2c

ICMP 허용 여부 지정icmp permit 0.0.0.0 0.0.0.0 outsideicmp permit 0.0.0.0 0.0.0.0 inside

clock time 지정clock timezone KST 9 0clock set 18:22:58 NOV 9 2005

NTP 서버 정의ntp server 192.168.3.1 source inside

boot image 장소 정의boot system disk0:/asa704-k8.bin

80

ASA 5500 특수 기능

81

ASA Properties

•AAA Setup – AAA 외부 Server 지정 및 Auth 프롬프트 정의•Advanced – IP 변조 방지, Fragment, TCP Option, Timeout 정의•ARP Static Table – ARP Static 정의•Auto Update – Image Update•DHCP Service – ASA를 통한 DHCP 서비스 또는 Relay 지정•DNS Client – DNS 속성 정의•Failover – 이중화 구성시 Failover 구성•History Metrics – History 기능 활성화 여부 지정•HTTP/HTTPS – HTTP Redirection 및 HTTPS user기반 Certicated 인증•IP Audit – Firewall 기본 제공 IPS 기능 사용 유무•Logging – Logging 속성 정의•Prioirty Queue – 각 Interface별 Priority Queue 지정•SSL – ASDM 과 SSL VPN 구성을 위한 SSL 속성 지정•SUNRPC Server – SUNRPC Service 관련 속성 지정•URL Filtering – URL Filtering 기능 지정

82

ASA Properties AAA Server Group 지정

• AAA Server Group – 그룹 이름 지정• Protocol – RADIUS / TACACS 등에 대한 지정• Accounting Mode 지정• Reactivation Mode 지정• 인증 최대 시도 횟수 지정

1

2

83

ASA Properties AAA Server 속성 지정

3 4

Server IP Address, Interface 지정Radius Parameter 선택

Auth 프롬프트 정의

84

ASA Properties CLI 기반의 AAA Setup 구성

CLI 기반의 AAA Setup구성 예제

AAA Server Group 지정 및 각종 속성 지정aaa-server 192.168.3.111 protocol radiusaccounting-mode singlereactivation-mode depletion deadtime 10max-failed-attempts 3

AAA Server 해당 Network에 대한 정보 지정aaa-server 192.168.3.111 (Mgmt-Interface) host 192.168.3.111

Auth. Prompt 속성 지정auth-prompt accept Good-Userauth-prompt reject NoNoNo...auth-prompt prompt whchoi-ASA

85

ASA Properties Anti-Spoofing 기능

Anti-Spoofing (IP 변조 방지 기능)

내부 사용자 가운데 IP를 변조하여 외부로 나가는사용자들에 대해 Blocking 하는 기능

CLI 기반 명령

ip verify reverse-path interface inside

86

ASA Properties Fragment 기능

Fragment

Fragment Reassembly 를 위한 Fragment Database Packet의 최대 Size 지정 및속성값 지정 또는 변경 가능

87

ASA Properties Time Out 기능

Time Out

특정 Protocol 또는 Connection 들에 대한 최대 Idle Time 지정Idle Time 이후에는 자동 Session Close 시킴

88

ASA Properties Time Out 기능

ARP Static Table

MAC 변조 방지를 위한 IP,MAC Mapping을 통한 보호 기능

CLI 기반 명령

arp inside 192.168.3.111 aaaa.bbbb.cccc

89

ASA Properties Auto Update 기능

Auto Update 기능

지정된 시간에 특정 Server에 접속하여 자동으로 Image 업데이트를 수행하는 기능

90

ASA Properties DHCP 기능

1 2

DHCP Service 기능

ASA 가 직접 DHCP Service 를 제공하는 기능

DHCP Relay Agent 기능

ASA가 다른 DHCP Server로 Relay 시켜 주는 기능

91

ASA Properties ASA 기본 제공되는 IDS 기능 – S.W 기반

ASA 내에 기본 설치되어 있는 S.W 기반의 IDS 정책 정의

각 Interface에 정의된 정책 할당

생성된 정책을 각 interface에 적용- Attack , Information에 대한 정책 할당

1 2

3

IP Audit 에 대한 정책 생성Policy Type 정의 – Attack 또는 InfoAction – Alarm , Drop, Reset 중 선택

92

ASA Properties ASA 기본 제공되는 IDS 기능 – S.W 기반

1 2 3 4

Signature Number

Information 또는 Attack 에 대한 분류

Signature 이름 기술

비활성화 시킬 Signature

93

ASA Properties CLI 기반의 ASA S.W 기반의 IDS 구성

CLI 기반의 Audit Signature 구성 예제

AAA Server Group 지정 및 각종 속성 지정

ip audit name P1 attack action resetip audit name P2 info action alarm

새로운 Audit 정책 설정

ip audit interface inside P2ip audit interface inside P1

생성된 Audit 정책을 각 Interface에 적용

no ip audit signature 1000

비활성화 시킬 Audit Signature

94

ASA Properties Logging 설정

Logging Setup-Loggin Enable, Debug Message 내보내기-Failover Standby Unit 에 Logging 활성화-EMBLEM 포맷으로 Syslog 보내기

내부 버퍼 사이즈 지정하기

Log 메시지 버퍼 저장 방법 선택-Flash 의 일정 공간에 저장하기-FTP Server 로 지정된 곳에 저장하기

ASDM 에서 Logging 할 경우 Queue Size 지정

1

2

3

4

95


Logging Filter 하기-Internal 버퍼, 콘솔, Telnet Session, SyslogSNMP Trap, E-mail, ASDM 등에서 Logging이벤트 중 불필요한 부분 Filtering 하기

Syslog 설정하기-Syslog Facility 코드에 따른 설정 및 시간표시-기타 Syslog 속성 설정

96


Syslog Server 설정- IP address, Protocol , Port 번호, EMBLEM

포맷 사용 유무Syslog Server 관련 속성 추가 및 변경

97


E-mail Setup-특정 Event 발생시 관리자 또는 지정한 곳으로

이메일 발송

Rate Limit- DDoS 발생 시 과도한 Log 발생으로 System

자체 부하로 인해 문제가 야기될 가능성이높으므로, Log에 대한 Rate Limit 기능

98

ASA Properties CLI 기반의 Logging 기능 구성

CLI 기반의 Logging 구성 예제

Logging 구성 예

logging enable 로깅 활성화

logging standby Standby 로깅 활성화

logging debug-trace Debug 메시지 활성화

logging emblem Cisco EMBLEM logging 활성화

logging timestamp Time Stamp 기능 활성화

logging host inside 192.168.3.39 Logging Server 지정

logging from-address [email protected] Logging Source E-Mail 지정

logging recipient-address [email protected] level Errors

Logging 특정 레벨이 발생시 목적지 이메일 주소 발송

logging rate-limit 100 5 level Notifications

Logging 과다 발생 대비 특정 시간 동안 임계치 값이상에 대해 제어

99

ASA Properties SSL 구성 및 URL Filtering Server 지정하기

URL Filtering Server 지정-URL 필터링 서버를 지정하여 URL 필터링 수행-WebSense,N2H2 서버 타입 지원

SSL 설정 (중요)-관리를 위한 SSL 속성 지정-SSL VPN 구성시 SSL 동작 알고리즘 구현을 위한

속성 동시 지정됨

100

ASA Properties PQ(Priority Queue) 지정하기

PQ 구성-LLQ 구성을 위한 PQ 지정-Voice Traffic 과 같은 Traffic Delay, Jitter에

민감한 Traffic 우선 처리를 위한 속성 지정

CLI 기반 명령

priority-queue insidetx-ring-limit 80queue-limit 2048

101

ASA 5500 Deep InspectionApplication Inspection 기능

102

Application Inspection – FTP 예제

192.168.3.33

100.100.100.100

10.10.10.1

Application Inspection - FTP

192.168.1.1

Cisco ASA 5500

FTP 전송 불허

FTP Down 허용

FTP Inspection 기능

내부 Inside Network에서 외부에 있는 사이트로 부터의 파일 다운로드는 허용하고,

내부 Inside Network에서 외부에 있는 사이트,호스트에게 파일을 전송하는 행위 차단.

103


FTP Inspection Map 정의

1

2

34

104


1

2

FTP Map 이름 지정

Deny 시킬 FTP Command 정의

105


Config – Service Policy – Service Policy Rules - Add

1

2

3

4

106


1

FTP Inspection을 적용할 물리적 인터페이스 정의Policy name 정의

Class Group 사용

2

107


이미 정의된 Inspection Map 선택

1 23

4

108

Application Inspection – FTPCLI 를 통한 구성

CLI 기반의 FTP Inspection 구성

FTP Inspection 구성 예제

ftp-map FTP-PUT-Deny

request-command deny put

Inspection Map 구성

policy-map outside-ftp

class class-default

inspect ftp strict FTP-PUT-Deny

Policy Map과 Class-Map 구성

service-policy outside-ftp interface outside

적용할 Interface 선언

109

Application Inspection – HTTP 예제

192.168.3.33

100.100.100.100

10.10.10.1

Application Inspection - HTTP

192.168.1.1

Cisco ASA 5500

Well Known P2P, Messanger,Tunneled Application

제어

HTTP Inspection 기능

내부 Inside Network에서 외부의 P2P(Kazza,E-Donkey…), Messanger(MSN,Yahoo,..),Tunneled Application 등의 사용을 제어할 경우

110

Application Inspection – HTTP

HTTP Inspection Map 정의

1

3

2

4

111


HTTP Inspection 이름 정의

Application 카테고리 정의해당 카테고리 정의- Action 및 Syslog 정의

1

2 3

112


이미 정의된 Inspection Map 선택

1 2

3

4

113

Application Inspection – HTTP CLI 를 통한 구성

CLI 기반의 HTTP Inspection 구성

HTTP Inspection 구성 예제

http-map P2P-IM

strict-http action reset log

port-misuse im action drop log

port-misuse tunnelling action drop log

port-misuse p2p action drop log

HTTP Inspection Map 구성하기

policy-map inside-policy

class class-default

inspect http P2P-IM

Policy map, Class map 구성하기

service-policy inside-policy interface inside

Http Inspection을 적용할 인터페이스 선언

114

ASA Active/Active 구성

115

ASA 5500 Active/Active 구성하기

ASA 5500 Active/Active 구성

Admin 192.168.1.1

Virtual-1192.168.2.1

Admin 192.168.1.2

Virtual-1192.168.2.2

Failover192.168.5.1

Failover192.168.5.2

Admin 10.10.10.1

Virtual-120.20.20.1

Admin 10.10.10.2

Virtual-120.20.20.2

SA

A S

S A

AS

116

ASA 5500 Active/Active 구성하기

1

2

3

4

Multi-Context 기능을 통한 Active/Active 구성하기

117

ASA 5500 Active/Active 구성하기Multi-context 구성

1

Context Group 이름 정의2

Context 에 구성될 Interface 선택/구성

3

4

Context Config 이름 정의

Failover Group 선택

118

ASA 5500 Active/Active 구성하기Multi-context 구성

1

Context Group 이름 정의2

Context 에 구성될 Interface 선택/구성

3

4

Context Config 이름 정의

Failover Group 선택

119

ASA 5500 Active/Active 구성하기Failover Feature 구성 - Setup

Failover 활성화 하기

Failover Interface 설정 – Management Interface를 사용 가능Active/Standby IP Address 설정Logiacl 이름 설정Primary,Secondary 선택

1

2

120

ASA 5500 Active/Active 구성하기Failover Feature 구성 – Failover interface 속성 정의

Interface Policy 정의

Failover Monitor 시간(sec), Failover Time(Sec), Hold Time(Sec) 정의

1

2

121

ASA 5500 Active/Active 구성하기Failover Feature 구성 – Active/Active 관련 구성

Active /Active 구성을 위한 Group 별 Priority 정의

122

ASA 5500 Active/Active 구성하기Failover Feature 구성 – Active/Active 관련 구성

Primary/Secondary 정의 및 Preemt 선언

해당 그룹의 Active MAC과 Standby Mac 선언 및 정의

123

ASA 5500 Active/Active 구성하기Failover Feature 구성 – MAC 구성

ASA Interface의 Active /Standby Mac 정의

124

ASA 5500 Active/Active 구성하기CLI 기반의 Act/Act 구성 방법

CLI 기반의 Act/Act 구성

Failover 선언

failover

failover lan unit primary

failover lan interface FO Management0/0

failover polltime interface 3

failover mac address GigabitEthernet0/0 0013.c480.5e56 1013.c480.5e56




failover interface ip FO 192.168.5.1 255.255.255.252 standby 192.168.5.2

125



Failover 그룹 선언

failover group 1

preempt 3

mac address GigabitEthernet0/0 0013.c480.5e56 1013.c480.5e56


failover group 2

secondary

preempt 3

replication http



126



Context 별 구성

admin-context admin

context admin

allocate-interface GigabitEthernet0/0


config-url disk0:/admin.cfg

!

context virtual-1



config-url disk0:/virtual-1.cfg

127



Context 별 IP Address 선언하기

admin-context

interface GigabitEthernet0/0

ip address 10.10.10.1 255.255.255.0 standby 10.10.10.2

!



Virtual-1-context



!



Cisco ASA 5500 Config Guidecfs8.tistory.com/upload_control/download.blog?fhandle... ·...

Documents

Transcript of Cisco ASA 5500 Config Guidecfs8.tistory.com/upload_control/download.blog?fhandle... ·...