ASA：ネットワークアドレス変換のトラブル。 パート1.ダイナミックブロードキャスト

ネットワークアドレス変換（NAT）は、パケット内のアドレスまたはポートのスプーフィングです。 通常、会社のネットワークとインターネットサービスプロバイダーの境界で必要になります。 ただし、これは唯一のタスクからはほど遠いものです。 ASAファイアウォールを使用したいくつかの典型的なタスクとソリューションを見てみましょう。



まず、用語を定義しましょう。 すでにご存知のように、ASAでは、送信元インターフェイスと宛先インターフェイスのセキュリティレベルを比較することにより、ファイアウォールの「外側」と「内側」の方向を簡単に判断できます（同じセキュリティレベルの状況を個別に検討します）。

通常、 内部 （内部）ブロードキャストと外部 （外部）ブロードキャストを分離します。 ファイアウォールが「外側」に出ると、内部ブロードキャストがソースアドレスを置き換え、MEを通過するときに外部ブロードキャストがソースアドレスを置き換えます。



原則として、内部変換を使用して、プライベートでルーティングできないインターネットアドレス（RFC1918）をプロバイダーが発行したグローバルアドレスに置き換えるだけで十分です。

また、 アドレスからアドレスへの変換（NAT、OSIモデルレベル3で実行され、1つのアドレスが別のアドレスに置き換えられます）、およびポートベースの変換 （ポートアドレス変換、PAT、OSIモデルレベル4で実行され、アドレスだけでなく、ポート）。 PATブロードキャストは、ポート（TCP、UDP）を持つプロトコルに対してのみ実行できることは明らかです。 ただし、PATを使用すると、複数のローカルアドレスを1つのグローバルに変換できます。変換キャッシュは、ソースアドレスとポート、および変換の結果として受信したアドレスとポートの対応を書き込みます。



例：アドレス10.1.1.100および10.1.1.200の2人のローカルユーザーが同じサイトwww.anticisco.ruにアクセスすることを決定できるようにします。 NATを使用する場合、この場合、ISPPool（）プロバイダープールからのグローバルアドレスで各内部ユーザーを与える必要があります。

   10.1.1.100-> ISPPool（1）
   10.1.1.200-> ISPPool（2）

PATを使用する場合、1つのグローバルアドレスを異なるプライベートアドレスにマッピングできますが、ソースポートも書き留めます。

   10.1.1.100:29010-> ISPPool（1）：1024
   10.1.1.200:18932-> ISPPool（1）：1025

そして、サーバーから応答が来ると、ASAは変換キャッシュからそのポートに応答が来るものを選択します。



最後に、読者の皆さん、最後に、放送は静的と動的に分けられると言います。 静的なアドレスは、あるアドレスを別のアドレス（NATの場合）またはアドレスとポートのペア（PATの場合）に厳密にバインドします。 着信パッケージが翻訳ルールの選択基準を満たしている場合、必要に応じて動的なパッケージが作成されます。



言葉からカスタマイズまで。



ブロードキャストがどのように実行されるかを理解するには、インターフェイスに最初に到着したのはルーティングテーブルによってパケットがチェックされることを思い出してください。 その後、宛先ネットワークへのルートが見つからない場合、発信インターフェイスが決定されるか、パケットが破棄されます。 宛先ネットワークがMEの「外部」にある場合（着信インターフェイスと比較してセキュリティレベルが低いインターフェイスの背後）、内部ブロードキャストのルールがチェックされ、「内部」の場合-外部（外部）

Ciscoルーターとは異なり、ASA変換ルールは、パケットの送受信に関係するインターフェイスと密接にリンクされています。 これにより、ルールを簡単に記述できます。

ルーターとの別の違い：ASAでは、変換規則のないパケットの通過を厳密に禁止できます。 チームにより規制

   nat-control

デフォルトでは、このコマンドは無効になっています。 変換規則がない場合、パケットは単にルーティングに従って進み、規則がある場合、変換が実行されます。 このコマンドを有効にすると、明らかに翻訳ルールに該当しなかったパッケージは残酷に破壊されます。



ダイナミックブロードキャスト



「興味深い」パッケージが受信インターフェースに到着すると、必要なときに動的なブロードキャストが作成されることを思い出させてください。 どのパッケージを翻訳する必要があるかを記述するルールは、natコマンドによって記述され、パッケージのソースアドレスが設定されます。

   nat（{インターフェイス}）＃{ネットワーク} {マスク} 

interface-パケットの送信元のインターフェースの名前

＃はブロードキャスト番号です。 アドレスを何に変換するかの適切な指示を検索する必要があります。



例：

   nat（ins）1 10.1.1.0 255.255.255.0
   nat（ins）1 10.2.2.2 255.255.255.255

ご覧のとおり、同じ番号のルールが多数存在する可能性があります

ブロードキャストする内容を示す1つの指示だけでは十分ではないことは明らかです。 また、何をブロードキャストするかを記述する必要もあります。 これはglobalコマンドを使用して行われます。

  グローバル（{インターフェース}）＃{プール|アドレス}

interface-パッケージが出て行くインターフェースの名前

＃-ブロードキャスト番号。 それは私たちが興味を持っている状態natと同じでなければなりません

プール-変換するip_start-ip_end形式でアドレスの範囲を明示的に設定します。 この場合、ダイナミックNAT変換を取得します。

アドレス-アドレスのプールではなく1つのアドレスを指定すると、すべての変換がその中で実行されます。つまり、PATがブロードキャストされます。



例：

 
  グローバル（アウト）1 81.1.1.10-81.1.1.20
  グローバル（アウト）1 81.1.1.21

発信インターフェイスのアドレスに変換する場合は、キーワードインターフェイスを使用して明示的に指定する必要があります

  グローバル（出力）1インターフェイス

同じ番号のグローバルルールが複数ある場合は、NATが最初に（アドレスプールに）変換され、次にPATが別のアドレスに変換され、次にPATがインターフェイスアドレスに変換されます。 合理的な疑問が生じる可能性があります：これはいつ「いつ」来るのでしょうか？ アドレスプールについては、明確であることを願っています。プール内のアドレスはいつ、RATブロードキャスト内のアドレス間で使い果たされますか？ それで、この質問は本当に起こりませんか？ さて、もう一度考えてください:)



すべてをまとめて繰り返します。PATブロードキャストで使用されるアドレスと一般的なアドレスに切り替えがある場合、それらの多くが存在する可能性がありますか？



これらの両方の質問に対する答えは1つだけです。RATの同じアドレスへの変換は、ASAで約4,000件しか予約されていません。 この後、新しいブロードキャストは作成されません。 どうする？ PATには複数のアドレスを使用します。 つまり 同じ数のグローバルの複数行。



単独で立つのは、番号0のnatルールです。このルールは、外出するときにブロードキャストする必要がないものを記述します。 このルールは、厳密なNAT制御モードが有効になっている場合に特に必要です。 このルールでは、グローバルという言葉は機能しません。 実際、これらのパケットについては、アドレスをそれ自体に変換するルールが有効であると想像できます。



したがって、内部動的変換（NATおよびPAT）のルールについて説明しました。 つまり パケットが「外部」に移動すると、着信インターフェイスのnatルールの存在がチェックされ、そこにルールがあり、パケットがその下にある場合、発信インターフェイスで対応するグローバルルールを探します。 同時に、発信インターフェイスのセキュリティレベルは着信インターフェイスのセキュリティレベルよりも低い

ASAの「内部」に入るパケットの送信元アドレスを動的に変更する必要がある場合、セキュリティの高いインターフェイスでグローバルルールを検索する必要があることを明示的に示す必要があります。 これは、natコマンドのoutsideキーワードを使用して行われます（nat 0ルールにも適用可能）。

   nat（{インターフェイス}）＃{ネットワーク} {マスク}外

例：インターネットからの呼び出し元のすべての実際のアドレスを「非表示」にして、それらを内部インターフェイスのアドレスに置き換えたいとします

   nat（out）10 0 0外
  グローバル（ins）10インターフェイス

ご覧のとおり、コマンド形式は非常に似ています。 ところで、例に示されている変換タイプは、残念ながら、Ciscoルーター（PAT外）ではサポートされていません



アドレス変換の追加の可能性は、オープンTCPセッションの最大数、UDPセッションの最大数、およびハーフオープンTCPセッション（胚）の数を制限する能力です。その後、DoS攻撃（膨大な数のセッションオープニングリクエスト）に対するSYNフラッド保護技術がオンになります。 この技術はSYN Cookieと呼ばれます。

   nat（{interface}）＃{network} {mask} tcp {max} {embryonic} udp {max}

0を指定すると、「このパラメーターを追跡しない」ことを意味します。



そして、バックフィルの質問：1つのネットワークに移動し、別のネットワークに移動する場合、どのように1つのプールに変換しますか？ これまでのところ、宛先ネットワークが基準として入力される可能性があることは確認していません。



この問題を解決するには、上記のコマンドでは不十分です。 これを行うには、ポリシーNATを使用します（前述の「通常の」NATはレギュラーと呼ばれます）



ただし、事前に怖がらないでください。ポリシーNATには複雑なことはありません。ソースネットワークを基準として指定するだけでなく、ブロードキャストするものだけでなく、許可という単語で示すアクセスリストを指定する必要があります。



たとえば、PARTNERネットワークにアクセスするときに、LANをIPSPool（1）アドレスに変換します。

  アクセスリストNAT許可ip LANパートナー
   nat（ins）1アクセスリストNAT
  グローバル（出力）1 ISPPool（1）

ポリシーNATで使用されるアクセスリストには制限があります。その中で拒否行を使用することはできません。 つまり 翻訳するものはすべて、許可行で明示的に記述する必要があります。 nat 0のアクセスリストに対してのみ例外が作成されます。拒否リストには、拒否文字列が含まれる場合があります。 そして、これらの行は、他の変換ルールを見る必要があることを意味します-突然アドレスは置換が必要です。



ポリシーNATは、通常のNATよりも特権があります。



NATルールを処理する順序は複雑ですが、知っておく必要があります。 したがって、静的なブロードキャストに関する部分を待たずに、これらのルールを合理化しようとします

最初のルールは常にポリシーNAT 0です

   nat（{interface}）0アクセスリスト{NONAT}

次に、静的ブロードキャストのブロックがありますが、これについては後で扱います。 覚えておくべき主なことは、静的なブロードキャストは動的なブロードキャストよりも特権があることです

その後にポリシーNATの変換が続きます

   nat（{interface}）＃アクセスリスト{ACL}

同時に、ASAはこれらのアクセスリストが重複しないようにします。

次に、最長一致ルールが適用される通常のNATルールがあります。 さらに、NAT 0ルールの場合も同様です。



たとえば、ネットワーク10..1.1.0 / 24をブロードキャストせずに、アドレス10.1.1.1を変換し、他のすべてを他の何かに変換できます。

   nat（ins）0 10.1.1.0 255.255.255.0
   nat（ins）1 10.1.1.1 255.255.255.255
   nat（ins）2 0 0 

この部分を修正するには2つの小さな演習：

1.外部からASAにアクセスできます。その背後には、デフォルトゲートウェイが正しく構成されていない（欠落している）コンピューターが内部インターフェイスの背後に接続されています。 それに到達する必要があります（たとえば、そこにRDPが含まれています）

2.実行される順序で変換ルールを配置します

   access-list NAT1 permit ip any host 198.133.219.25
  アクセスリストNAT1は、ホスト216.255.83.40を拒否します。
  グローバル（出力）2 int
  グローバル（出力）2 1.1.1.1-1.1.1.100
   nat（ins）0 10.1.1.1 255.255.255.255
   nat（ins）2 10.1.1.0 255.255.255.0
  グローバル（アウト）1 1.1.1.254
  グローバル（出力）1 1.1.1.101-1.1.1.110
   nat（ins）1アクセスリストNAT1

静的なブロードキャスト （私を責めないでください：継続のみが続きます）



Threat Friendsは、転載、翻訳、従業員との共同作業に使用する際に、私とwww.anticisco.ruを参照してください！ あらかじめご了承ください:)



セルゲイ・フェドロフ、インストラクター