Методическое пособие 560
.pdfПРАКТИЧЕСКАЯ РАБОТА № 10 CISCO ASA
Цель работы
Изучить принципы работы и осуществить базовую настройку аппаратно-
го межсетевого экрана Cisco ASA (англ. Cisco Adaptive Security Appliance, уст-
ройство адаптивной защиты Cisco) серии 5500 и 5500-X.
Теоретические сведения
1.Что поставить на периметр сети: Cisco маршрутизатор или Cisco ASA? // Блог «Хабр». URL: https://habr.com/ru/company/cbs/blog/279857/ (дата обращения: 20.05.2021).
2.Cisco ASA // Точка обмена знаниями по UNIX/Linux-системам и системам с открытым исходным кодом. URL: http://xgu.ru/wiki/Cisco_ASA (дата обращения: 20.05.2021).
3.Многофункциональное устройство обеспечения безопасности Cisco
5500-X с сервисами FirePOWER // Сайт компании Cisco Systems. URL: https://www.cisco.com/c/ru_ru/products/security/asa-firepower-services/index.html (дата обращения: 20.05.2021).
4. |
Cisco ASA 5500 |
Series Configuration Guide using the CLI,8.4 and 8.6 |
// Сайт |
компании Cisco |
Systems. URL: https://www.cisco.com/c/en/us/td/ |
docs/security/asa/asa84/configuration/guide/asa_84_cli_config.html (дата обращения: 20.05.2021).
5.CLI Book 1: Cisco ASA Series General Operations CLI Configuration
Guide, 9.6 // Сайт компании Cisco Systems. URL: https://www.cisco.com/c/ en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config.html (дата обращения: 20.05.2021).
6.CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide,9.6 //
Сайт компании Cisco Systems. URL: https://www.cisco.com/c/en/us/td/ docs/security/asa/asa96/configuration/firewall/asa-96-firewall-config.html (дата обращения: 20.05.2021).
Подходящее руководство по настройке выбирайте в соответствии с используемой Cisco ASA версией Cisco IOS.
40
Порядок выполнения работы
1.Подготовка схемы сети
a. Соберите модель сети в соответствии со схемой на рисунке:
Схема модели сети
Межсетевые экраны Cisco ASA 5505 и Cisco ASA 5506-X имеют по два интерфейса, настроенных по умолчанию: для работы с внутренней подсетью (интерфейсы VLAN1 и GigabitEtherner1/1 соответственно) и для работы с внешней подсетью (интерфейсы VLAN2 и GigabitEtherner1/2 соответственно). Целесообразно предварительно ознакомиться с настройками интерфейсов и учитывать их при подключении кабелями.
b.Маршрутизаторам Router0 – Router2, межсетевым экранам ASA0 и ASA1, коммутаторам Switch0 – Switch2, компьютерам PC0 – PC2 и серверу Server0 назначьте сетевые имена в соответствии со схемой сети.
c.На маршрутизаторах Router0 – Router2 назначьте интерфейсам, соединяющим их между собой и с межсетевыми экранами ASA0 и ASA1, IP-адреса из диапазонов IP-адресов подсетей c маской /30, полученных путем распределения одного диапазона IP-адресов вида 100.100.[N].0/24 на все требуемые подсети.
Для внешних интерфейсов межсетевых экранов ASA0 и ASA1, соединяющих их с маршрутизаторами Router0 и Router1 соответственно, необходимо зарезервировать IP-адреса из соответствующих подсетей. Непосредственно на-
41
значение IP-адресов интерфейсам межсетевых экранов ASA0 и ASA1 будет осуществлено в других заданиях.
d.На компьютере PC0 назначьте соответствующему интерфейсу IPадрес из диапазона IP-адресов вида 192.168.[N].0/24.
Для внутреннего интерфейса межсетевого экрана ASA0 необходимо зарезервировать IP-адрес из соответствующей подсети. Непосредственно назначение IP-адреса интерфейсу межсетевого экрана ASA0 будет осуществлено в другом задании.
e.На маршрутизаторе Router1, компьютере PC1 и сервере Server0 назначьте интерфейсам, входящим согласно схеме сети, в одну подсеть, IP-адреса из диапазона IP-адресов вида 192.168. [N+1].0/24.
f.На компьютере PC2 назначьте соответствующему интерфейсу IPадрес из диапазона IP-адресов вида 192.168. [N+2].0/24.
Для внутреннего интерфейса межсетевого экрана ASA1 необходимо зарезервировать IP-адрес из соответствующей подсети. Непосредственно назначение IP-адреса интерфейсу межсетевого экрана ASA1 будет осуществлено в другом задании.
g.Настройте динамическую маршрутизацию по протоколу EIGRP или по протоколу OSPF между подсетями, соединяющими маршрутизаторы Router0
–Router2 между собой, с межсетевыми экранами ASA0 и ASA1, с компьютером
PC1 и сервером Server0.
Таким образом, в общую схему маршрутизации не следует включать внутренние по отношению к межсетевым экранам ASA0 и ASA1 подсети.
h.На маршрутизаторах Router0 – Router2, межсетевых экранах ASA0 и ASA1, коммутаторах Switch0 – Switch2, компьютерах PC0 – PC2 и сервере Server0 получите информацию о MAC-адресах и(или) IP-адресах активных интерфейсов, проанализируйте ее и запишите в отчет в виде таблицы со стол б- цами «Название устройства | Тип и номер интерфейса | MAC-адрес интерфейса | IP-адрес интерфейса».
2.Настройка интерфейсов межсетевого экрана Cisco ASA 5505 a. На межсетевом экране ASA0 с помощью команды
ciscoasa#show version
получите информацию о версии Cisco IOS, о существующих и доступных функциональных возможностях и изучите ее.
На межсетевых экранах Cisco ASA по умолчанию установлен пустой пароль на привилегированный режим CLI Cisco IOS.
b.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#interface vlan [номер] ciscoasa(config-if)#nameif [имя] ciscoasa(config-if)#no ip dhcp address ciscoasa(config-if)#ip address [IP-адрес] [маска] ciscoasa(config-if)#security-level [уровень]
42
настройте интерфейс VLAN для работы с внутренней подсетью (уровень безопасности 100) и интерфейс VLAN для работы с внешней подсетью (уровень безопасности 0).
Целесообразно установить интерфейсам имена, указывающие на направление их работы.
c.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#interface [тип] [номер] ciscoasa(config-if)#switchport mode access ciscoasa(config-if)#switchport access vlan [номер]
настройте физические интерфейсы в режим access таким образом, чтобы они относились к соответствующим VLAN.
Cisco ASA 550 имеет 8 встроенных портов коммутатора, являющихся портами 2 уровня модели OSI. Для назначения им идентификаторов 3 уровня модели OSI необходимо вначале создать виртуальный интерфейс коммутатора (SVI) или логический интерфейс VLAN и затем назначить ему один или несколько физических портов. В других моделях Cisco ASA непосредственно физическим портам можно назначать IP-адреса.
d.На межсетевом экране ASA0 с помощью команды
ciscoasa#show interface ip brief
получите информацию о статусе интерфейсов и проанализируйте ее.
e.На межсетевом экране ASA0 с помощью команды
ciscoasa#show switch vlan
получите информацию о VLAN, проанализируйте ее и запишите в отчет.
f.На межсетевом экране ASA0 с помощью команды
ciscoasa#show ip address
получите информацию об IP-адресах VLAN, проанализируйте ее и запишите в отчет.
3. Настройка инспектирования трафика на межсетевом экране
Cisco ASA 5505
a.На межсетевом экране ASA0 с помощью команды вида
ciscoasa(config)#route [имя] [IP-адрес] [маска] [IP-адрес]
сформируйте статический маршрут для всего исходящего сетевого трафика через соответствующий внешний интерфейс VLAN.
b.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#object network [имя] ciscoasa(config-network-object)#subnet [IP-адрес] [маска] ciscoasa(config-network-object)#nat ([имя],[имя]) dynamic interface
создайте сетевой объект, ассоциируйте его с диапазоном IP-адресов внутренней подсети и установите динамическое правило трансляции сетевых адресов с внутреннего интерфейса VLAN на внешний интерфейс VLAN.
c.На межсетевом экране ASA0 с помощью команды
ciscoasa#show nat
получите информацию о политике и счетчиках NAT, проанализируйте ее и за-
пишите в отчет.
43
d.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#class-map [имя] ciscoasa(config-cmap)#match default-inspection-traffic
создайте класс трафика и установите критерий для отнесения сетевого трафика к этому класса.
e.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#policy-map [имя] ciscoasa(config-pmap)#class [имя] ciscoasa(config-pmap-c)#inspect [протокол] ciscoasa(config-pmap-c)#exit ciscoasa(config)#service-policy [имя] global
создайте политику работы с классом трафика, настройте инспектирование трафика сетевой службы, использующей протокол ICMP, и активируйте эту политику глобально.
f. На компьютере PC0, используя утилиту «Command Prompt», с помощью команды вида
PC>ping [IP-адрес]
проверьте доступность компьютера PC1.
Почему получился именно такой результат выполнения команды?
g. На компьютере PC0, используя утилиту «Web Browser», используя адрес вида
http://[IP-адрес]
проверьте доступность содержимого HTTP-сервера Server0 (веб-сайта), обратившись к нему.
Почему получился именно такой результат выполнения команды?
h. На компьютере PC0, используя утилиту «Command Prompt», с помощью команды вида
PC>ftp [IP-адрес]
проверьте доступность FTP-сервера Server0, подключившись к нему. Почему получился именно такой результат выполнения команды?
4.Настройка DHCP, AAA и SSH на межсетевом экране Cisco ASA
5505
a.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#dhcpd address [IP-адрес]-[IP-адрес] [имя] ciscoasa(config)#dhcpd enable [имя]
сформируйте для внутреннего интерфейса VLAN DHCP-пул из соответствующего диапазона IP-адресов и активируйте функционал DHCP-сервера для внутреннего интерфейса VLAN.
b.На компьютере PC0, используя утилиту «IP Configuration», активируйте автоматическую конфигурацию сетевых параметров с помощью прото-
кола DHCP.
c.На межсетевом экране ASA0 с помощью команды
ciscoasa#show dhcpd binding all
получите информацию об IP-адресах, которые были выданы DHCP-сервером, проанализируйте ее и запишите в отчет.
44
d.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#username [имя] password [пароль] ciscoasa(config)#aaa authentication ssh console LOCAL
создайте новую локальную учетную запись, установите для нее пароль и активируйте аутентификацию по параметрам локальной учетной записи при подключении по протоколу SSH.
e.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#crypto key generate rsa modulus [модуль]
WARNING: You have a RSA keypair already defined named <Default- RSA-Key>.
Do you really want to replace them? [yes/no]: no
сгенерируйте новые криптографические ключи для алгоритма шифрования RSA с длиной модуля 1024 бит, но не заменяйте ими существующие криптографические ключи, используемые по умолчанию.
f.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#ssh [IP-адрес] [маска] [имя] ciscoasa(config)#ssh timeout [время]
разрешите подключение по протоколу SSH из внутренней подсети со стороны внутреннего интерфейса VLAN, а также с компьютера PC1 со стороны внешнего интерфейса VLAN и установите тайм-аут при превышении количества попыток для аутентификации продолжительностью 5 минут.
g. На компьютере PC0, используя утилиту «Command Prompt», с помощью команды вида
PC>ssh –l [имя] [IP-адрес]
подключитесь к межсетевому экрану ASA0 по протоколу SSH.
h.На компьютере PC1, используя утилиту «Telnet / SSH Client», подключитесь к межсетевому экрану ASA0 по протоколу SSH.
i.На межсетевом экране ASA0 с помощью команды
ciscoasa#show ssh
получите информацию о настройках протокола SSH, проанализируйте ее и за-
пишите в отчет.
5.Настройка интерфейсов межсетевого экрана Cisco ASA 5506-X a. На межсетевом экране ASA1 с помощью команды
ciscoasa#show version
получите информацию о версии Cisco IOS, о существующих и доступных функциональных возможностях и изучите ее.
b.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#interface
На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#interface [тип] [номер] ciscoasa(config-if)#nameif [имя] ciscoasa(config-if)#ip address [IP-адрес] [маска] ciscoasa(config-if)#security-level [уровень]
настройте интерфейс для работы с внутренней подсетью (уровень безопасности 100) и интерфейс для работы с внешней подсетью (уровень безопасности 0).
45
Целесообразно установить интерфейсам имена, указывающие на направление их работы.
[тип] [номер] ciscoasa(config-if)#nameif [имя]
ciscoasa(config-if)#ip address [IP-адрес] [маска] ciscoasa(config-if)#security-level [уровень]
настройте интерфейс для работы с внутренней подсетью (уровень безопасности 100) и интерфейс для работы с внешней подсетью (уровень безопасности 0).
Целесообразно установить интерфейсам имена, указывающие на направление их работы.
c.На межсетевом экране ASA1 с помощью команды
ciscoasa#show interface ip brief
получите информацию о статусе интерфейсов и проанализируйте ее.
d.На межсетевом экране ASA1 с помощью команды
ciscoasa#show ip address
получите информацию об IP-адресах VLAN, проанализируйте ее и запишите в отчет.
6. Настройка инспектирования трафика на межсетевом экране
Cisco ASA 5506-X
a.На межсетевом экране ASA1 с помощью команды вида
ciscoasa(config)#route [имя] [IP-адрес] [маска] [IP-адрес]
сформируйте статический маршрут для всего исходящего сетевого трафика через соответствующий внешний интерфейс.
b.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#object network [имя] ciscoasa(config-network-object)#subnet [IP-адрес] [маска] ciscoasa(config-network-object)#nat ([имя],[имя]) dynamic interface
создайте сетевой объект, ассоциируйте его с диапазоном IP-адресов внутренней подсети и установите динамическое правило трансляции сетевых адресов с внутреннего интерфейса на внешний интерфейс.
c.На межсетевом экране ASA1 с помощью команды
ciscoasa#show nat
получите информацию о политике и счетчиках NAT, проанализируйте ее и за-
пишите в отчет.
d.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#class-map [имя] ciscoasa(config-cmap)#match default-inspection-traffic
создайте класс трафика и установите критерий для отнесения сетевого трафика к этому класса.
e.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#policy-map [имя] ciscoasa(config-pmap)#class [имя] ciscoasa(config-pmap-c)#inspect [протокол] ciscoasa(config-pmap-c)#exit ciscoasa(config)#service-policy [имя] global
46
создайте политику работы с классом трафика, настройте инспектирование трафика сетевых служб, использующих протоколы HTTP и FTP, и активируйте эту политику глобально.
f. На компьютере PC2, используя утилиту «Command Prompt», с помощью команды вида
PC>ping [IP-адрес]
проверьте доступность компьютера PC1.
Почему получился именно такой результат выполнения команды?
g. На компьютере PC2, используя утилиту «Web Browser», используя адрес вида
http://[IP-адрес]
проверьте доступность содержимого HTTP-сервера Server0 (веб-сайта), обратившись к нему.
Почему получился именно такой результат выполнения команды?
h. На компьютере PC2, используя утилиту «Command Prompt», с помощью команды вида
PC>ftp [IP-адрес]
проверьте доступность FTP-сервера Server0, подключившись к нему. Почему получился именно такой результат выполнения команды?
7. Настройка DHCP, AAA и SSH на межсетевом экране Cisco ASA 5506-X
a.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#dhcpd address [IP-адрес]-[IP-адрес] [имя] ciscoasa(config)#dhcpd enable [имя]
сформируйте для внутреннего интерфейса DHCP-пул из соответствующего диапазона IP-адресов и активируйте функционал DHCP-сервера для внутреннего интерфейса.
b.На компьютере PC2, используя утилиту «IP Configuration», активируйте автоматическую конфигурацию сетевых параметров с помощью прото-
кола DHCP.
c.На межсетевом экране ASA1 с помощью команды
ciscoasa#show dhcpd binding all
получите информацию об IP-адресах, которые были выданы DHCP-сервером, проанализируйте ее и запишите в отчет.
d.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#username [имя] password [пароль] ciscoasa(config)#aaa authentication ssh console LOCAL
создайте новую локальную учетную запись, установите для нее пароль и активируйте аутентификацию по параметрам локальной учетной записи при подключении по протоколу SSH.
e.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#crypto key generate rsa modulus [модуль]
WARNING: You have a RSA keypair already defined named <Default- RSA-Key>.
Do you really want to replace them? [yes/no]: no
47
сгенерируйте новые криптографические ключи для алгоритма шифрования RSA с длиной модуля 1024 бит, но не заменяйте ими существующие криптографические ключи, используемые по умолчанию.
f.На межсетевом экране ASA1 с помощью команд вида
ciscoasa(config)#ssh [IP-адрес] [маска] [имя] ciscoasa(config)#ssh timeout [время]
разрешите подключение по протоколу SSH из внутренней подсети со стороны внутреннего интерфейса, а также с компьютера PC1 со стороны внешнего интерфейса и установите тайм-аут при превышении количества попыток для аутентификации продолжительностью 10 минут.
g. На компьютере PC2, используя утилиту «Command Prompt», с помощью команды вида
PC>ssh –l [имя] [IP-адрес]
подключитесь к межсетевому экрану ASA0 по протоколу SSH.
h.На компьютере PC1, используя утилиту «Telnet / SSH Client», подключитесь к межсетевому экрану ASA0 по протоколу SSH.
i.На межсетевом экране ASA0 с помощью команды
ciscoasa#show ssh
получите информацию о настройках протокола SSH, проанализируйте ее и за-
пишите в отчет.
Контрольные вопросы
1.Какое назначение и принципы работы у Cisco ASA?
2.Какие функции, связанные с обеспечением безопасности информации в компьютерных сетях, реализуются Cisco ASA?
3. |
В чем отличия Cisco ASA от маршрутизаторов с функциями без о- |
пасности? |
|
4.В чем основное различие Cisco ASA 5505 и Cisco ASA 5506-X?
5.Какие существуют общие правила и рекомендации по применению Cisco ASA в компьютерных сетях с различными структурными и функциональными характеристиками?
6.Для чего используется инспектирование трафика?
7.Для чего используются классы трафика (карты классов трафика)?
8.Для чего используются политики работы с классами трафика (карты политик работы с классами трафика)?
48
ПРАКТИЧЕСКАЯ РАБОТА № 11 DMZ
Цель работы
Изучить настройку технологии DMZ (англ. Demilitarized Zone, демилитаризованная зона).
Теоретические сведения
1. Обзор вариантов организации доступа к сервисам корпоративной сети из Интернет // Блог «Хабр». URL: https://habr.com/ru/post/302068/ (дата обращения: 20.05.2021).
2. Firewall and IPS. Technology Design // Сайт компании Cisco Systems. URL: https://www.cisco.com/c/dam/en/us/td/ docs/solutions/CVD/Aug2014/CVD-FirewallAndIPSDesignGuide-AUG14.pdf (дата обращения: 20.05.2021).
3.CLI Book 1: Cisco ASA Series General Operations CLI Configuration
Guide, 9.6 // Сайт компании Cisco Systems. URL: https://www.cisco.com/c/ en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config.html (дата обращения: 20.05.2021).
4. CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide,9.6 // Сайт компании Cisco Systems URL:https://www.cisco.com/c/en/us/td/ docs/security/asa/asa96/configuration/firewall/asa-96-firewall-config.html (дата обращения: 20.05.2021).
Порядок выполнения работы
1.Подготовка схемы сети
a. Соберите модель сети в соответствии со схемой на рисунке:
Схема модели сети
49