手が届く：ASAについて続ける

基本的なインターフェイスとルーティング設定、およびリモート管理の接続設定から始めましょう



インターフェース設定



Cisco ASAは、ステートフルインスペクションセッションを備えたステートフルインスペクションファイアウォールです。 ASAは、ルーテッド（デフォルトではルーターモード）と透過（ASAがフィルタリングブリッジとして機能する場合は透過ファイアウォール）の2つのモードで動作できます。 最初のモードで作業を知るようになり、以降、特に指定がない限り、どこでもそれを意味します。





ルーテッドモードでは、各ASAインターフェイスはIPアドレス、マスク、セキュリティレベル、インターフェイス名で設定され、デフォルトではすべてのインターフェイスが「管理者による無効化」状態にあるため、インターフェイスを強制的に上げる必要があります。 （例外があります。ASAは事前に構成されている場合があります。これは5505モデルの典型です。この場合、原則として、内部の名前を持つ内部インターフェイスは既に最も安全で上げられ、DHCPサーバーが実行され、ネットワーク192.168.1.0からの静的アドレスが設定されています/ 24、outsideという名前の外部インターフェイスも発生し、それ自体がDHCP経由でアドレスを受信し、内部インターフェイスの背後のネットワークから外部インターフェイスアドレスへのアドレス変換が設定されます。このようなプラグアンドプレイが判明します。

   
 int g0 / 0
   IPアドレス{アドレス} {マスク}
  セキュリティレベル{数値}
   nameif {name}
  シャットダウンなし

「セキュリティレベル」パラメータは0〜100の数値で、2つのインターフェイスを比較し、どちらがより「安全」かを判断できます。 パラメータは、定量的ではなく定性的に使用されます。 より少ない関係のみが重要です。 デフォルトでは、トラフィックは「外部」に向かっています。 セキュリティレベルの高いインターフェイスからセキュリティレベルの低いインターフェイスまで、スキップされ、セッションは記憶され、これらのセッションからの応答のみがスキップされます。 「内部」へのトラフィックはデフォルトでは禁止されています。



将来、パラメーター「インターフェース名」（nameif）を使用すると、設定でインターフェースの物理名ではなく、「話す」として選択できる名前（内部、外部、dmz、パートナーなど）を使用できます。 理論的には、シスコ自体によると、名前は大文字と小文字を区別せず（大文字と小文字を区別しません）、実際には、多くのコマンドで大文字と小文字を区別する必要があり、これはかなり不便です。 典型的な例：インターフェイスに暗号マップを適用するには、インターフェイス名の正確なスペルが必要です。 インターフェイスの名前を続けるには、TABボタンを押します。 入力する先頭がインターフェイスを一意に識別する場合、名前の先頭を入力し、タビュレーターで最後まで続行できます。



このインターフェイス設定は、ASA 5505を除くすべてのASAモデルに共通です。5505には、組み込みの8ポートL2 / L3スイッチがあります。 モデル5505のIPアドレスは論理インターフェイスに設定されます

インターフェイスVLAN {＃}
   IPアドレス{アドレス} {マスク}
  セキュリティレベル{数値}
   nameif {name}
  シャットダウンなし

物理L2インターフェイス自体はVLANにマッピングされます。

インターフェイスf0 / 0
  スイッチポートアクセスVLAN {＃}

したがって、ファイアウォールは論理インターフェイスVLANの間で発生します。

原則として、インターフェイスのセキュリティレベルは、ネットワークの論理トポロジに最​​適な方法で選択されます。 トポロジ自体はセキュリティゾーンであり、それらの間の相互作用のルールです。 古典的なスキームは、さまざまなセキュリティレベルをさまざまなインターフェイスに割り当てることです。

異なるインターフェイスのセキュリティレベルを同じにすることを禁止する人はいませんが、デフォルトでは、そのようなインターフェイス間のトラフィック交換は禁止されています。 このようなトラフィックは、コマンドを与えることで意図的に許可することができます

  同一セキュリティトラフィック許可インターフェイス間

ただし、同じレベルのセキュリティを備えたインターフェイス間では、ファイアウォールではなくルーティングのみが行われることを理解する必要があります。 したがって、このアプローチは、同じ論理セキュリティゾーンに関連するインターフェイスに使用されます（たとえば、ASAによって結合されたユーザーの2つのローカルエリアネットワーク）



ルーティング



さて、それなしでどこに！ ルーターと同様に（ASAはルーティングテーブルを使用してパケットを送信するため、ASAにもあります）、インターフェイスに設定されたネットワークは、「接続済み」とマークされたルーティングテーブルに自動的に分類されます。アップ状態。 これらのネットワーク間のパケットルーティングは自動です。

ASA自体が記述する必要のないネットワーク。 これは、コマンドを使用して手動で実行できます

  ルート{インターフェース} {ネットワーク} {マスク} {ネクストホップ} [{管理距離}] [トラック{＃}]

ネクストホップを探すインターフェイスを指定します。 ASA自体はこのような検索を行いません（通常のCiscoルーターとは異なります）。 最大16の並列パスを使用できる従来のルーターとは異なり、ルーティングテーブル内の宛先ネットワークに到達するルートは1つだけです。

デフォルトルートは同じ方法で設定されます。

   route {interface} 0.0.0.0 0.0.0.0 {next-hop}

ASAがルーティングテーブルにパケット宛先ネットワークに関するエントリがない場合、パケットを廃棄します。



メインのルートが消えたときにのみ機能するバックアップ静的ルートを作成するというタスクが発生した場合、これはいわゆるルートの管理距離を示すことで解決されます。 これは、0〜255の数値であり、ルート選択方法の有効性を示します。 たとえば、静的ルートはデフォルトでAD 1、EIGRP-90、OSPF-110、RIP-120にマップされます。メインADよりも多くのフォールバックルートにADを明示的に指定できます。 例：

   0.0.0.0 0.0.0.0の外側のルート{next-hop} 1
  ルートバックアップ0.0.0.0 0.0.0.0 {next-hop_backup} 210

しかし、この状況では、1つの重要な質問があります。メインルートを「消失」させる方法ですか。 インターフェイスが物理的に落ちた場合、すべてが明らかです-それはそれ自体で動作しますが、インターフェイスがアップしており、プロバイダーが死んでいる場合はどうなりますか？ これは、ASAに物理的なイーサネットが非常にまれにしか存在しないため、非常に一般的な状況です。



この問題を解決するために、SLAテクノロジーが使用されます。 これは、クラシックルーターで高度に開発されており、バージョン7.2以降のASAでは、最も単純なメカニズム（icmpプロトコル経由のホストの可用性）のみを実装していました。 これを行うには、このような「pingovalka」（sla monitor）を作成します

   sla monitor {＃}
    タイプecho protocol ipIcmpEcho {ip address} interface {interface}

さらに、開始時間（「今」を開始することも可能）と作業の終了（作業を無限に設定できます）を指定して開始する必要があります。

   SLAモニタースケジュール{＃}人生を永遠に開始

しかし、それだけではありません。 「pingovalka」のステータスを追跡する「スイッチ」（トラック）を作成する必要があります。

  トラック{トラック＃} rtr {sla＃}到達可能性

pingovalkaバインディングがrtrキーワードを使用して実行される理由を尋ねないでください。これは、Ciscoルーターでの一貫性のない設定のナンセンスです。 ちなみに、このような不一致はルーター自体で既に修正されていますが、ASAではまだ修正されていません。

これで、この構成を静的ルーティングに適用する準備がすべて整いました。

   0外のルート{next-hop_outside}トラック{＃}
  ルートバックアップ0 0 {next-hop_backup} 210

これで、ping可能なホストにアクセスできる間、トラックは起動し（ほとんど「up」に書き込まれます）、メインルートはルーティングテーブルにありますが、接続が失われるとすぐに、指定された数のパケットが失われます（デフォルトでは、10回ごとにパケットが送信されます）秒、3パケットの損失を待つ）トラックが停止され、メインルートがルーティングテーブルから消え、パケットが代替パスを介して送信されます。



メインプロバイダーの可用性を確認しながら、異なるプロバイダーを通る2つのデフォルトルートの設定例を示します。

   SLAモニター1
    タイプecho protocol ipIcmpEcho 1.1.1.1外部インターフェイス
   SLAモニタースケジュール1今すぐ開始
  トラック11 RTR 1到達可能性
   0 0 1.1.1.1トラック11外のルート
  ルートバックアップ0 0 2.2.2.1 210

プロトコルRIPv1、2、OSPF、EIGRPを使用して、ASAでの動的ルーティングが可能です。 ASAでこれらのプロトコルを設定することは、Ciscoルーターを設定することに非常に似ています。 今のところ、これらの出版物の動的ルーティングについては触れませんが、手が届き興味がある場合は、別の章を書きます。



リモコン



データネットワークの現在の開発では、ファイアウォールのリモート制御を導入しないのは不合理であることは明らかです。 したがって、ASAは、ほとんどのシスコデバイスと同様に、いくつかのリモート管理方法を提供します。

最も単純で最も危険なのはtelnetです。 telnet経由でASAにアクセスできるようにするには、どのホストとネットワーク、およびどのインターフェイスアクセスを許可するかを明示的に指定する必要があります。また、passwdコマンドでtelnetのパスワードも指定する必要があります。

   telnet 192.168.1.128 255.255.255.128内部
   telnet 192.168.1.254 255.255.255.255内部
   passwd {パスワード}

セキュリティ上の理由から、最も安全ではない（このASA内で最もセキュリティレベルが低い）インターフェイスでのtelnet操作はブロックされ、このインターフェイスでのtelnet操作は、IPSecトンネルを介して到着した場合にのみ可能です。

sshプロトコルにより、より安全なコマンドラインアクセスが提供されます。 ただし、sshを介してアクセスを提供するには、管理のためにアクセスできるホストを明示的に指定することに加えて、ユーザーデータの暗号化に必要なRSAキーも指定する必要があります。 デフォルトでは、pixユーザーはssh接続に使用され、passwdコマンドで指定されたパスワード（telnetパスワード）が使用されます。

   ！ ドメイン名を設定する
  ドメイン名{name}
   ！
   ！ デフォルト以外のホスト名を指定することをお勧めします
  ホスト名{名前}
   ！
   ！ その後、キーを生成できます
  暗号鍵はRSAを生成します 
   ！
   ！  sshを許可する
   ssh 192.168.1.128 255.255.255.128内部
   ssh 1.2.3.4 255.255.255.255外部
   passwd {パスワード}

原則として、バージョン7.2以降のASAでは、ドメイン名がすでに設定されており（domain.invalid）、デフォルトキーが生成されますが、少なくともこれを確認する必要があります

  暗号鍵mypubkey rsaを表示

少なくともいくつかのRSAキーの存在により、すでにsshで作業できます。 ただし、デフォルト以外のキーペアを追加で作成することもできます。 これを行うには、キーペアの名前を明示的に指定する必要があります

  暗号鍵は、RSAラベルを生成します{ペア名} 

キーペア（またはすべてのペア）を削除するには、次のコマンドを使用します

  暗号鍵ゼロ化rsa [ラベル{ペア名}] 

ヒント：キーペアを使用したアクション（作成、削除）の後、必ず保存してください。 これには、標準のciscoコマンドを使用できます。

  実行構成の起動構成のコピー
  書き込みメモリ

または最後のコマンドの短いバージョン

     wr 

ASAは、Webブラウザを使用した非常に一般的な設定方法も提供します。 この方法はASDM（Adaptive Security Device Manager）と呼ばれます。 安全なプロトコルhttpsがアクセスに使用されます。 アクセス制御は、sshと非常によく似た構成になっています。デフォルトのRSAキーがあることを確認するか、接続できる場所を示す必要があります。

  ドメイン名{name}
  ホスト名{名前}
  暗号鍵はRSAを生成します
   ！  httpsサーバー自体をオンにします。多くの場合、デフォルトでオンになっています。 オンにしたとき 
   ！ 自己署名証明書を生成します。
   HTTPサーバーの有効化 
   ！  httpsを許可する
   http 192.168.1.128 255.255.255.128内部
   http 1.2.3.4 255.255.255.255外部

他に何も設定しない場合、ユーザーを指定せずにアクセスが提供されます。 特権モードのパスワードが指定された場合

  イネーブルパスワード{password}

次に、接続時に、ユーザーを指定せずにパスワードとして指定する必要があります。

ASDMフラッシュに、使用されているOSに対応するASDMファイルが含まれていることを確認する必要があります。

   dir flash：
  ショーフラッシュ

ASDMを使用する場合、javaが使用され、次のことが当てはまります。OSバージョン7.Xを使用している場合、ASDMはバージョン5.Xおよびjava 1.5を必要とします。 OS 8.Xを使用する場合、バージョン6.XおよびJavaバージョン1.6にはASDMが必要です。 開発者の功績とチューナーの喜びのために、ASDMバージョン6はバージョン5.Xよりも優れた高速で動作します。 誰のメリットがある：JavaまたはCiscoまたはその両方-私は知りません。



合理的な疑問が生じます。デフォルトのアクセスルールではなく、どこでユーザーを取得するかを明示的に指定したい場合はどうでしょうか。 これにはコマンドが使用されます（コンソール-キーワード）

   aaa認証telnetコンソール{AAAサーバー名} [ローカル]
   aaa認証sshコンソール{AAAサーバー名} [ローカル]
   aaa認証httpコンソール{AAAサーバー名} [ローカル]

ローカルユーザーデータベースのみを使用する場合は、認証ルールでLOCALのみを指定できます（少なくとも1人のユーザーが作成されていることを確認します。そうでない場合は、自分へのアクセスをブロックできます）。このようなサーバーは事前に構成する必要があります

   aaa-server {AAAサーバー名}プロトコル{tacacs | radius | ldap}
   aaa-server {AAAサーバー名}（{インターフェイス}）ホスト{ip}
    キー{key}
     ！ このタイプのサーバーに固有のその他のコマンド

ローカルユーザーベースはチームによって設定されます

  ユーザー{ユーザー}パスワード{パスワード} [特権＃]

ASDM経由のアクセスは、特権レベル15のユーザーに代わってのみ可能です（最大とは、ユーザーを構成できることを意味します）

次のコマンドを使用して、ローカルユーザーにいくつかの属性を設定することもできます。

  ユーザー{user}属性
     ！ さまざまなユーザー属性

このパートを終えて、設定の一部を提供します。 構成された2つのインターフェイス（この場合はgigabitethernet 0/0および0/1ですが、異なるプラットフォームでは他の物理インターフェイスでもかまいません）、内部および外部、デフォルトルート、sshおよびhttps経由のリモートアクセスはどこからでも許可されます。これ

認証はローカルユーザーデータベースを使用します。

ホスト名myAsa
 ！
ドメイン名anticisco.ru
 ！
インターフェースg0 / 0
  外の名前
  セキュリティレベル0
   IPアドレス1.1.1.2 255.255.255.252
  閉まらない
 ！
 int g0 / 1
  中の名前
  セキュリティレベル100
   IPアドレス10.1.1.1 255.255.255.0
  閉まらない
 ！
 ！  ASAレコードでは0.0.0.0を0に減らすことができます
 ！
 0 0 1.1.1.1外のルート
 ！
ユーザー名adminパスワードcisco特権15
 ！
 ssh 0 0内部
 ssh 0 0外
 ！
 http 0 0内部
 http 0 0外
 ！
 aaa認証sshコンソールローカル
 AAA認証HTTPコンソールLOCAL

これらの設定を使用すると、内部インターフェイスの背後にある直接接続されたネットワークから外部へのパケット送信を許可できます。 外部では、セッション（tcpおよびudp）の応答のみが受信され、内部から開かれます。 デフォルトでは、「内部」へのトラフィックは完全に禁止されています。 解決方法については、次のパートで説明します。



アクセスリスト（続き）