Источники:
- Про NGFW (FirePower) в отдельной статье
- Про классические файрволы (ASA) в отдельной статье (этой)
- Видео от Газинформсервис (ГАЗ-ИС)
- Второе видео
- Дока по базовой настройке Cisco ASA из второго видео Описание настроек КМЭ, в ней например подробно описана установка FirePOWER (SFR, подозреваю сокращение от SourceFiRe) модуля для Cisco ASA
https://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html#anc7 The Cisco ASA FirePOWER module, also known as the ASA SFR, provides next-generation Firewall services, such as: - Next Generation Intrusion Prevention System (NGIPS) - Application Visibility and Control (AVC) - URL filtering - Advanced Malware Protection (AMP) This document describes how to install and configure a Cisco FirePOWER (SFR) module that runs on a Cisco Adaptive Security Appliance (ASA) and how to register the SFR module with the Cisco FireSIGHT Management Center.
firewall functions & history
Firewall – критичный элемент для защиты сети. Могут быть как отдельные устройства standalone firewall, функционал встроенный в устройства integrated router, так и софт на каждом хосте host-based firewall (обычно оба решения, HBF встроен во все OS сегодня и даже используется облачными операторами типа yandex cloud).
Using both network- and host-based firewalls provides protection from external and internal threats. This also protects hosts that move between trusted and untrusted networks, like mobile devices and laptops.
Кто то пытается сделать stateful firewall с использованием reflexive access list 🙂
Слайд PaloAlto повторяет (кроме включения в эволюцию Proxy) вышестоящие слайды Cisco.
Cisco Firewall History
-
Cisco centri firewall – первый firewall cisco, поддержка прекращена еще в 2001 😀
-
Cisco PIX (private internet exchange) – купленный продукт Cisco
-
Wheel group IPS/IDS – купленный продукт IDS/IPS, который был как в виде отдельного устройства, так и модуля в ASA. О его недостатках в Firepower.
- Cisco ASA на основе PIX – культовый файрвол
- Cisco Firepower – NGFW
Cisco ASAv
ASAv не хвалят в Azure: отсутствие clustering, небольшое количество интерфейсов и отсутствие консоли.
It's an ASA, which is a very good thing especially considering the NSG alternatives. I was very excited to see this. However, you can't use native clustering/failover capabilities and it is not compatible with Azure Availability Sets. That is a deal breaker for anyone trying to host something with a high SLA. Second, the 3 internal (plus 1 external) NIC limit is also a problem for us and likely other enterprise customers, which I suspect are the primary audience for this. That becomes an even bigger problem if clustering support is ever added as that requires a dedicated pair of NIC's. The ASAv itself support 9 NIC's and all of these features outside of Azure; Microsoft and Cisco have some work to do together to make this more than a glorified way to manage NSG's and VPN's. Lastly, the lack of any console support is killer if you fat finger something and lock yourself out.
Cisco ASA
Интересное:
- Есть vASA (как просто L4 firwall неплох). pbr появились на asa в урезанном виде, но gre так и нет. ASR лучше ASA по производительности NAT. Тут довольно дорог зачастую саппорт (например, на 2х5520 только саппорт стоил в свое время 5-6к$. Так же денег стоит лицензии на IPS, anyconnect (например, на 2х5508 стоил те же 5-6к$, при этом включая сами девайсы).
- в контексте обхода импорта западной криптографии заказом девайсов без стойкой (AES, 3DES) криптографии (K8) и локальным обновлением до версии с криптографией (K9)
- permit any any недопустимо прописывать даже на этапе настройки Cisco ASA
- для проверки конфигов используют efros config inspector – свое платное ПО, которое реализует VCS и проверку конфига на best practices.
-
-
VPN headend/server for remote access/site-to-site vpn
-
NAT
-
DHCP client/server
-
Routing – static, dynamic (RIP/EIGRP/OSPF)
-
Modes
-
Routed – ip адрес на каждом интерфейсе
-
Transparent – bridge, l2 firewall
-
-
security level
Security-level – какое-либо число от 0 до 100, которое определяет степень безопасности того или иного сегмента сети. Смысл имеет лишь разница между значениями, а не сами числа. Пример базовой и правильной настройки security-level: внешняя сеть – 0, локальная сеть – 100.
Верно ли утверждение: “Cisco ASA будет пропускать трафик из зоны с низким значением security-level в зону с более высоким”?
-
- Верно
- Неверно
- Затрудняюсь ответить
Неверно
Правильным утверждением будет: “Cisco ASA будет пропускать трафик из зоны с более высоким значением security-level в зону с более низким.”
Базовая настройка
CONSOLE (9600)
BASIC settings
enable
conf t
hostname ASA
interface gigabitethernet1
security-level 100
nameif inside
ip address 192.168.0.1 255.255.255.0
no shutdown
exit
username admin password <password> privilege 15
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa authentication serial console LOCAL
aaa authentication enable console LOCAL
enable password <password>
crypto key generate rsa modulus 1024
asdm image flash:/asdm-643.bin
http server enable
http 192.168.0.0 255.255.255.0 inside
ssh 192.168.0.0 255.255.255.0 inside
wr
sh run
SOFT UPDATE (указываем новый образ, старый в backup)
enable
conf t
no boot system disk0:/asa961-lbff-k8.SPA
boot system disk0:/asa981-lbff-k8.SPA
boot system disk0:/asa961-lbff-k8.SPA
asdm image disk0:/asdm-781.bin
wr
reload
enable
conf t
no boot system disk0:/asa961-lbff-k8.SPA
show run boot system
wr
show flash:
delete disk0:/asa961-lbff-k8.SPA
delete disk0:/asdm-761.bin
Пример вывода show ver.
По умолчанию asa не отображается в traceroute, чтобы начала нужно:
policy-map global_policy class class-default set connection decrement-ttl
Включение инспекции ICMP (необходимо для работы icmp между разными security-level без настроек ACL – без этой настройки исходящие пакеты из высокого security-level достигают назначения в более низком security-level, но оборатные не пропускаются т.к. Cisco не может сопоставить ответ с запросом):
fixup protocol icmp
Два провайдера:
interface Gi1/3 nameif ISP1 security-level 0 ip address 2.2.2.1 255.255.255.128 interface Gi1/4 nameif ISP2 security-level 0 ip address 3.3.3.1 255.255.255.128
HTTP/SSH
http server enable http 192.168.0.0 255.255.0.0 INSIDE ssh 192.168.0.0 255.255.0.0 INSIDE ssh timeout 20 # айдл коннект 20 минут pager lines 48 # увеличиваем количество строк вывода с 24 до 48
Пример автоматически созданных правил с разрешением доступа из высокого security-level в низкий. Нужно быть аккуратными с default правилами:
- Конкретное разрешающее правило в конкретной секуции исчезнет при создании в его секции ACL
- Эти правила ВСЕ исчезают сразу после создания глобального ACL (их лучше использовать в последнюю очередь)
Iteration между одним security-level (по умолчанию трафик заблокирован, не помогут даже ACL)
same-security-traffic permit inter-interface # для взаимодействия нескольких security зон с одинаковым security-level same-security-traffic permit intra-interface # для получения трафика на интерфейсе и возврата трафика на этом же интерфейсе (router-on-a-stick, например, VPN)
PRIMARY & BACKUP ISP
ISP primary & secondary + Ip sla monitor + tracking objects – как понимаю пингуются два разных ресурса через маршруты через разные провайдеры – myip и резолвер ip Yandex (еще альтернатива – eth0.me); на основе этого принимается решение держать маршрут в таблице или нет
Маршруты для IP SLA
route ISP1 178.63.151.224 255.255.255.255 2.2.2.2 route ISP2 185.5.136.119 255.255.255.255 3.3.3.3
NAT
object network ISP1_NAT nat (any,ISP1) dynamic interface dns object network ISP2_NAT nat (any,ISP2) dynamic interface dns
Маршруты с приоритетами (основной и резервный каналы). ISP1/ISP2 это nameif соответствующих интерфейсов (аналогично к интерфейсам привязываются и ACL в ASA):
route ISP1 0.0.0.0 0.0.0.0 2.2.2.2 10 route ISP2 0.0.0.0 0.0.0.0 3.3.3.3 1
IPSec tunnel primay & backup
tunnel-group 2.2.2.3 type ipsec-l2l tunnel-group 2.2.2.3 ipsec-attributes pre-shared-key <PSK> tunnel-group 3.3.3.4 type ipsec-l2l tunnel-group 3.3.3.4 ipsec-attributes pre-shared-key <PSK> crypto map MAP_ISP1 10 set peer 2.2.2.3 3.3.3.4 crypto map MAP_ISP2 10 set peer 3.3.3.4 2.2.2.3
Syslog
logging list syslog message 113012 # уведомления на syslog при возникновении события RA VPN подключений и подключений к Cisco ASA по SSH logging list syslog message 622001 # уведомления на syslog при возникновении событий добавления и удаления маршрутов с SLA logging host INSIDE 192.168.10.20 logging trap syslog logging facility 16 logging device-id string CNTR-FW
Inspection
На Cisco ASA 5508 используется sip/ftp/h323/etc инспекция. Причем они ее даже настраивают на конкретный SIP. Прямая цитата из doc – инспекция SIP по умолчанию включен на Cisco ASA и проброс SIP работает даже без создания правил проброса в NAT, но она бесконторльно пропускает SIP-трафик в обе стороны на любые адреса в интернете. Настроим инспекцию SIP c привязкой через access-list для работы с конкретным VOIP-шлюзом провайдера, остальной SIP-трафик из интернет будет блокироваться.
object network prov-sip-gw host 5.5.5.5 description Provider VOIP-gateway access-list sip_inspection extended permit ip object-group SIP-GW prov-sip-gw class-map inspection_sip match default-inspection-traffic match access-list sip_inspection policy-map global_policy no class inspection_default no class sfr class inspection_sip inspect sip class inspection_default inspect dns preset_dns_map inspect esmtp inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect sqlnet inspect sunrpc inspect tftp inspect xdmcp class sfr sfr fail-open policy-map type inspect sip SIP_MAP parameters max-forwards-validation action drop log state-checking action drop-connection log software-version action mask log strict-header-validation action drop log no traffic-non-sip uri-non-sip action mask log rtp-conformance enforce-payloadtype
Полезные команды для работы с SIP:
show sip - показывает состояние регистрации sip-устройств show service-policy | i sip – показывает статистику по трафику, прошедшего через инспекцию SIP