» » Открытие и закрытие портов на PIX/ASA 8.2

Лаборатория Сетей Cisco
 
 
 

Открытие и закрытие портов на PIX/ASA 8.2

Автор: HunSolo от 10-07-2013, 14:51, посмотрело: 9769

0 Данный документ показывает простую конфигурацию как открывать или закрывать порты для различных типов трафика, проходящего через устройство безопасности, такое как PIX или ASA версии 8.2 и ниже. Версия 8.3 и выше имеет другую архитектуру NAT и работу NAT+ACL. Мы рассмотрим работу NAT для ASA версии 8.3, 8.4 и выше в следующих статьях.

Введение

Каждый интерфейс на PIX должен иметь уровень безопасности от 0 (наименее безопасный) до 100 (наиболее безопасный). Например, вы должны назначить для самой защищенной сети, такой как внутренняя сеть, где расположены ваши хосты, уровень 100. А для внешней сети, например, Интернет, может быть назначен уровень 0. Другим сетям, таким как DMZ, уровень безопасности назначается в промежутке между 0 и 100. Вы можете назначить один уровень безопасности сразу для нескольких интерфейсов.

По умолчанию на интерфейсе outside все порты заблокированы (уровень безопасности 0), а на интерфейсе inside (уровень 100) все порты открыты. Таким образом весь исходящий трафик может проходить через PIX без какой-либо специальной конфигурации устройства, но входящий трафик должен быть явно разрешен при помощи листов доступа и конфигурацией статической трансляции адресов (static nat).

Как правило, все порты заблокированы при прохождении трафика из наименее безопасной зоны в наиболее безопасную, и все порты открыты при прохождении трафика из наиболее безопасной зоны в менее безопасную. Это осуществляется при помощи механизма инспектирования состояний сетевых соединений.

Рассмотрим сетевую диаграмму на рисунке
Открытие и закрытие портов на PIX/ASA 8.2


Пять различных серверов расположены в зоне DMZ. Необходимо ограничить к ним доступ из внутренней сети, и в то же время разрешить доступ из внешней сети.

Блокирование портов


Устройство безопасности разрешает прохождение любого исходящего трафика, до тех пор, пока он не будет блокирован явным листом доступа (ACL). Лист доступа состоит из одного или более элементов (ACE). В зависимости от типа листа вы можете указать адреса отправителя и получателя, протокол, TCP/UDP порты, тип сообщения ICMP (для протокола ICMP) и даже EtherType (для фрэймов)

Для протоколов без установления соединения (например, ICMP), устройство безопасности устанавливает однонаправленные сессии, поэтому вам нужен лист доступа, который разрешает прохождения ICMP в обоих направлениях, либо вы должны включить инспектирование протокола ICMP, которое выключено по умолчанию. В этом случае инспекционный движок будет трактовать ICMP сессии как двунаправленные соединения.

Выполним следующие шаги для того, чтобы блокировать порты для трафика идущего из интерфейса inside в DMZ.

1. Создаем лист доступа, чтобы заблокировать определенный порт

access-list  extended deny <protocol> eq <port number>
access-list extended permit ip any any

2. Привязываем созданный ACL к нужному интерфейсу

access-group <access list name> in interface <interface name>


Примеры:

Блокируем HTTP трафик:
Для того, чтобы заблокировать внутреннюю сеть 10.1.1.0 от доступа к Web серверу 172.16.1.1, расположенному в DMZ сети, создаем ACL вида
access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1  eq 80
access-list 100 extended permit ip any any
access-group 100 in interface inside


Блокируем FTP трафик:
Для того, чтобы заблокировать внутреннюю сеть 10.1.1.0 от доступа к FTP серверу 172.16.1.2, расположенному в DMZ сети, создаем ACL
access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2  eq 21
access-list 100 extended permit ip any any
access-group 100 in interface inside


Тоже самое можно выполнить через графический web-интерфейс ASDM

1. Идем в Configuration > Firewall > Access Rules -> Add Access Rule чтобы создать лист доступа

Открытие и закрытие портов на PIX/ASA 8.2


2. Объявляем источник и приемник и действие разрешить или запретить данный трафик на интерфейсе с которым будет связано данное правило доступа. Выбираем Deny и жмем Details, чтобы выбрать порты которые необходимо запретить.

Открытие и закрытие портов на PIX/ASA 8.2


3. Выбираем http из списка доступных портов, жмем OK и возвращаемся назад в окно добавления правил доступа window.

Открытие и закрытие портов на PIX/ASA 8.2


4. Жмем OK чтобы завершить конфигурацию листа доступа

Открытие и закрытие портов на PIX/ASA 8.2


5. Из верхнего меню выбираем Add -> Insert After чтобы добавить правило в уже созданный access-list.

Открытие и закрытие портов на PIX/ASA 8.2


6. Разрешаем трафик вида "any" to "any" (все остальное) чтобы обойти неявный "deny", иначе вообще никакой трафик не пбудет проходить через интерфейс. Затем жмем OK чтобы завершить добавление правила .

Открытие и закрытие портов на PIX/ASA 8.2


7. Скофигурированный access-list можно увидеть во вкладке Access Rules. Жмем Apply чтобы послать конфигурацию на ASA.

Открытие и закрытие портов на PIX/ASA 8.2


В результате ASDM посылает на ASA следующую конфигурацию

access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq www
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside

Аналогичным образом выполняется конфигурация для блокировки доступа на FTP сервер.

Открываем порты


Устройство безопасности запрещает прохождение любого входящего трафика, до тех пор, пока он не будет разрешен явным листом доступа (ACL).

Если вы ходите, что внешние хосты могли получить доступ к внутренним хостам, вы должны применить входной ACL на внешний интерфейс. В ACL вам нужно указать транслируемый адрес внутреннего хоста потому, что только эти адреса могут использоваться на внешней сети. В качестве примера, разрешим прохождения трафика из интерфейса outside на интерфейс inside или из DMZ в inside.

1. Создем фиксированную трансляцию реального адреса в мапированный адрес. Мапированный адрес – это такой адрес, который хосты находящиеся в Internet могут использовать для доступа к серверу расположенному в DMZ, без необходимости знания его реального адреса (адреса интерфейса)

static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access-list access_list_name | interface}


2. Создаем ACL чтобы разрешить трафик на указный порт

access-list  extended permit <protocol> eq <port number>


3. Привязываем ACL на нужный интерфейс

access-group  in interface <interface name>


Примеры:

Открываем трафик для SMTP.
Открываем порт tcp 25 для того, чтобы хосты в Интернет могли отправлять порту на сервер расположенный в DMZ. Команда static мапирует внешний адрес 192.168.5.3 в реальный DMZ адрес 172.16.1.3 как показано на рисунке

static (DMZ,Outside) 192.168.5.3 172.16.1.3 netmask 255.255.255.255
access-list 100 extended permit tcp any host 192.168.5.3  eq 25
access-group 100 in interface outside


Внимание: В ASA верcии 8.3 и выше в ACL нужно указывать транслированный локальный внутренний адрес, а не NAT адрес.
Т.е ACL 100 должен быть в этом случае таким:
access-list 100 extended permit tcp any host 172.16.1.3  eq 25


Открываем трафик для HTTPS.
Открываем порт tcp 443, чтобы пользователи внешней сети могли получить доступ к web серверу

static (DMZ,Outside) 192.168.5.5 172.16.1.5 netmask 255.255.255.255
access-list 100 extended permit tcp any host 192.168.5.5  eq 443
access-group 100 in interface outside


Разрешаем DNS трафик.
Аналогичным образом открываем порт udp 53

static (DMZ,Outside) 192.168.5.4 172.16.1.4 netmask 255.255.255.255
access-list 100 extended permit udp any host 192.168.5.4  eq 53
access-group 100 in interface outside




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Без рук, а рисует, Без зубов, а кусает
Ответ:*
Введите два слова, показанных на изображении: *