Examinei muitas dessas postagens no Cisco ASA5505 e também on-line. Estou procurando algumas instruções passo a passo para concluir as seguintes tarefas.
Eu sei como funcioná-lo com uma interface interna e externa, o que é ótimo!
Eu preciso de um pouco de passo a passo para as seguintes tarefas
Configurando o firewall. Haverá dois servidores conectados à interface interna: um é um servidor web, portanto, portas 80, 25, etc ... O outro é o DC, então todas as portas padrão para isso precisam ser abertas. Também precisamos que o RDP seja aberto para ambas as máquinas e usamos uma porta não padrão. Eu sinto que se eu vi um exemplo como para a porta 80 eu poderia replicar isso. Existem outras configurações que eu deveria estar ciente para proteger o firewall de fato ou vem a configuração muito bem fora da caixa?
Configure o acesso ao appliance a partir do nosso escritório principal e do meu laboratório externo. Eu também poderia RDP para o DC na interface interna, em seguida, conectar-se se isso fosse mais seguro.
Aqui está meu status atual. No momento, é apenas configurado na minha máquina de trabalho para alguns testes. Então a interface externa apenas vai para a rede do escritório.
Resultado do comando: "show running-config"
: Saved
:
ASA Version 8.2(1)
!
hostname superasa
domain-name somedomainname
enable password /****** encrypted
passwd ******************** encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.1.9 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone EST -5
clock summer-time EDT recurring
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
name-server 192.168.1.120
domain-name somedomain
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.2.0 255.255.255.0 inside
http 192.168.2.4 255.255.255.255 inside
http 192.168.1.108 255.255.255.255 outside
http internetip 255.255.255.255 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 192.168.1.120 208.67.222.222
dhcpd domain somedomain
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.33 inside
dhcpd dns 192.168.1.120 interface inside
dhcpd auto_config outside interface inside
dhcpd enable inside
!
dhcpd dns 192.168.1.120 interface outside
dhcpd domain supernova interface outside
!
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
Cryptochecksum:abunchofnumbersgohere
: end
Eu realizei ambos usando ASDM e "Public Servers" Como isso não é mencionado on-line em qualquer lugar está além de mim. Ao configurar essa configuração, ela configura todas as regras de firewall necessárias! É simples e direto.
Consegui realizar todas as minhas perguntas com essa seção.
Aqui está uma captura de tela.
Em seu primeiro ponto, a parte do firewall já está configurada. Aqueles comandos de "nível de segurança" que você emitiu para a interface cuidaram disso. Níveis mais altos são capazes de se comunicar com níveis mais baixos, mas níveis mais baixos precisam ter acesso a recursos em níveis mais altos. Para conceder acesso, você cria uma lista de acesso e a atribui a uma interface com o comando access-group. Como você também é NAT, você precisa criar alguns mapeamentos estáticos para que o firewall saiba para onde enviar tráfego. Deixei o DC fora das minhas instruções porque você não precisa expor nada ao DC (é um problema de segurança fazer isso). Se você tiver escritórios remotos que precisam ser autenticados, configure um site para o site VPN. Veja como ficaria:
access-list outside_access_in extended permit tcp any host 192.168.1.153 eq 80
access-list outside_access_in extended permit tcp any host 192.168.1.153 eq 25
access-group outside_access_in in interface outside
static (inside,outside) 192.168.1.153 192.168.2.5 netmask 255.255.255.255
Você poderia, alternativamente, usar o PAT em vez de atribuir ao servidor seu próprio endereço IP externo. Eu recomendo não fazer isso, se possível, pois é mais comandos para configurar e manter um servidor de e-mail em seu próprio endereço IP ajuda você a não ficar na lista negra. Se você gostaria de fazer isso, aqui está o que você faria (note que nesta configuração você tem que criar um mapeamento estático para cada porta):
access-list outside_access_in extended permit tcp any host [external ip address of firewall] eq 80
access-list outside_access_in extended permit tcp any host [external ip address of firewall] eq 25
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 80 [internal ip address of server] 80 netmask 255.255.255.255
static (inside,outside) tcp interface 25 [internal ip address of server] 25 netmask 255.255.255.255
Para permitir o acesso, basta dizer ao ssh onde ouvir, como autenticar (um banco de dados local é mais fácil de configurar) e gerar uma chave:
ssh [ip address of main office] 255.255.255.255 outside
ssh [ip address of remote lab network] [subnet mask of remote lab network] outside
ssh [subnet of internal network] [subnet mask of internal network] inside
username companyadmin password [create a good password] privilege 15
aaa authentication ssh console LOCAL
crypto key generate rsa
EDITAR
Você não pode fazer o tipo de failover que está procurando no ASA. Ele pode fazer failover de ISPs, mas não de hosts. O que você pode querer analisar é o Network Load Balancer no Windows ou um balanceador de carga de hardware dedicado.
O primeiro trecho de código não é sobre a VPN site a site. Desculpe pela confusão. É para encaminhar portas com um IP dedicado (também conhecido como NAT estático) em oposição a um endereço IP compartilhado com o firewall. Quando é um IP compartilhado, é chamado de tradução de endereço de porta (PAT) porque o número da porta e o tipo ditam para qual host ele está encaminhado. Quando você tem um endereço IP dedicado, ele é chamado NAT estático. Você já está usando o NAT e pode usar o PAT ou o NAT estático em combinação com o NAT.