7/2011 (5)1
OBRONA
by HAKIN9
Urządzenia komunikują się ze sobą tak, jakby były dołączone do jednego przewodu lub koncentratora, choć
mogą się znajdować w różnych segmentach sieci LAN, nawet gdy fizycznie są umieszczo-ne przy tym samym przełączniku. Ponieważ podstawą VLAN są połączenia logiczne, a nie fizyczne, sieci te są bardzo elastyczne.
W przypadku VLAN fizyczna lokalizacja nie ma znaczenia, dlatego tez w latach 90. sie-ci tego typu budziły duże zainteresowanie ze względu na możliwość używania tych sieci do pracy grupowej osób znajdujących się w od-dalonych miejscach. Administrator takiej sieci może przypisać użytkowników do sieci nie-zależnie od tej lokalizacji na podstawie aplika-cji, protokołów, wymagań dotyczących wy-dajności lub bezpieczeństwa, charakterystyki natężenia ruchu itp.
Tyle w ramach wstępu odnośnie sieci VLAN. W tej części cyklu poświęconego Cisco ASA skupię się na warstwie 2 (łączności) ściany ogniowej Cisco ASA. Dla przypomnienia, każdy interfejs (fizyczny lub logiczny) w urzą-dzeniu Cisco ASA jest używany do tworzenia stref bezpieczeństwa, które są po prostu seg-mentami sieci (warstwa 3 podsieci) kompu-terów PC, serwerów itp. Każda strefa zabez-pieczeń jest chroniona przez zaporę z innych stref bezpieczeństwa.
W celu stworzenia bezpiecznej sieci, która jest zgodna z zasadami warstwowego zabez-pieczenia (co jest dobrą praktyką), musimy podzielić segmenty sieci na różne strefy bez-pieczeństwa (podsieci), które są kontrolowa-ne i chronione przez zaporę. Aby utworzyć takie strefy zabezpieczeń, można używać zarówno fizycznego lub logicznego interfej-su w urządzeniu. Jednakże, w celu stworze-nia warstwy 3 podsieci, należy mieć również różne warstwy 2 dla każdej podsieci VLAN.
Cisco ASA obsługuje wiele VLANów w stan-dardzie 802.1q funkcjonujących na interfejsie fizycznym. Oznacza to, tyle że administrator może konfigurować wiele logicznych interfej-sów (subinterfejsy) na pojedynczym interfej-sie fizycznym i może przydzielać każdemu lo-giczny interfejs do konkretnej sieci VLAN. Na przykład, urządzenie z 4 fizycznymi interfej-sami nie jest ograniczone do posiadania tylko 4 stref bezpieczeństwa. Możemy stworzyć na przykład 3 logiczne subinterfejsy na każ-dy fizyczny interfejs, który da nam 12 (4x3) różnych stref bezpieczeństwa. W zależności od modelu Cisco ASA, można skonfigurować maksymalnie do 250 sieci VLAN na jednym urządzeniu.
Po skonfigurowaniu subinterfejsów (VLAN) na fizycznym interfejsie, musimy jeszcze ten interfejs podłączyć pod port trunk na 2 war-
Konfiguracja sieci VLAN i Subinterfejsy w Cisco ASAWirtualna sieć LAN (VLAN) jest symulacją standardowej sieci LAN, pozwalająca na przesyłanie danych bez tradycyjnych ograniczeń. Stanowi zbiór urządzeń LAN zaliczonych do jednej grupy administracyjnej na podstawie parametrów konfiguracyjnych i polityki administracyjnej, a nie fizycznej lokalizacji.
Dowiesz się:• o wprowadzeniu do konfiguracji ściany ogniowej Cisco
ASA• o umiejętności korzystania z poleceń IOS• o podstawach zabezpieczenia sieci lokalnych
Powinieneś wiedzieć:• podstawowa wiedza na temat urządzeń Cisco• posiadać umiejętność pracy z emulatorem terminala
Grzegorz GałęzowskiKontakt z autorem: [email protected]
– część IV
Konfiguracja sieci VLAN i Subinterfejsy w Cisco ASA
www.securitymag.pl 2by HAKIN9
G0/1 = Fizyczny interfaceG0/1.1 = Logiczny interface (subinterfejs) przypisany do VLAN 10G0/1.2 = Logiczny interface (subinterfejs) przypisany do VLAN 20
Dwa logiczne interfejsy (G0/1.1 i G0/1.2) zachowują się jak fizyczny interfejs, a są to dwie osobne “koryta” za-pory.Zobaczmy teraz przykładową konfigurację poniżej:
ciscoasa(config)# interface gigabitethernet 0/1
ciscoasa(config-if)# no nameif
ciscoasa(config-if)# no security-level
ciscoasa(config-if)# no ip address
ciscoasa(config-if)# exit
ciscoasa(config)# interface gigabitethernet 0/1.1
ciscoasa(config-subif)# vlan 10
ciscoasa(config-subif)# nameif inside1
ciscoasa(config-subif)# security-level 80
ciscoasa(config-subif)# ip address 192.168.1.1
255.255.255.0
ciscoasa(config)# interface gigabitethernet 0/1.2
ciscoasa(config-subif)# vlan 20
ciscoasa(config-subif)# nameif inside2
ciscoasa(confif-subif)# security-level 90
ciscoasa(config-subif)# ip address 192.168.2.1
255.255.255.0
To tyle w tej części. W następnym artykule przedstawię już znacznie bardziej rozbudowany temat jakim jest IP-Sec VPN.
stwie przełącznika. Ponadto dokonać odpowiedniej kon-figuracji systemu.
Do konfiguracji subinterfejsu logicznego musimy w linii poleceń trybu konfiguracji globalnej użyć argumentu su-binterface. Przejdziemy w ten sposób do trybu w którym będziemy mogli konfigurować subinterfejs. Musimy także skonfigurować nazwę subinterface (nameif), poziom bez-pieczeństwa oraz zdefiniować adres IP i maskę.
Polecenia odpowiedzialne za konfigurację sieci logicznej VLAN znajdują się poniżej:
ciscoasa(config)# interface “fizyczny_interface.
subinterfaces” – użyjemy najpierw
argumentu subinterface
ciscoasa(config-subif)# - przechodzimy do trybu konfiguracji
subinterface
ciscoasa(config-subif)# vlan “id” – przypisujemy VLAN do
subinterface
ciscoasa(config-subif)# nameif “subif_nazwa” – przypisujemy
nazwę do subinterface
ciscoasa(config-subif)# ip address “IP” “netmask” –
przypisujemy adres IP i maskę
Poniżej przykładowy scenariusz wraz ze schematem sieci (Rysunek 1).
W powyższym przykładzie, zakładamy, że chcemy seg-ment naszej sieci wewnętrznej umieścić w dwóch stre-fach bezpieczeństwa (Inside1 i Inside2). Załóżmy że stre-fa Inside1 będzie gospodarzem wszystkich komputerów użytkownika, a strefa Inside2 będzie gościć wszystkie wewnętrzne serwery korporacyjne (serwer pocztowy, ser-wer domeny etc). Do budowy tego typu topologii, musimy stworzyć dwie sieci VLAN na przełączniku (10 i 20), po jednym dla każdej podsieci. Zamiast używać dwóch fi-zycznych interfejsów ze ściany ogniowej (po jednym dla każdej strefy), przekształcimy jeden fizyczny interfejs na dwa logiczne interfejsy, tak jak to pokazano poniżej:
Top Related