کانفیگ به معنای پیکربندی کردن است و سازمانهایی که در سیستمهای خود از کانفیگ استفاده میکنند، از سرعت بالا و پاسخگویی سریع به نیاز کاربران برخوردار هستند. افزایش سرعت، منجر به کاهش هزینههای اضافی میشود. کانفیگ فایروال وظیفه کنترل شبکه را بر عهده دارد. از آنجایی که در همه سیستمها لازم است اطلاعات ورودی و خروجی چک شود، این کنترل با استفاده از کانفیگ فایروال انجام میگیرد.
فایروال مانند یک دیوار فرضی عمل میکند و به کنترل دادهها، ثبت آنها و بررسی لایهبهلایه اطلاعات میپردازد. کانفیگ فایروال اطلاعات را در مرکز اصلی بارگذاری کرده و از ورود دادههای مخرب جلوگیری میکند. کانفیگ فایروال میتواند به صورت یک برنامه نرمافزاری یا دستگاه سختافزاری باشد که با تمرکز بر نقطه اتصال شبکه، مانع از دسترسی عوامل مخرب و کاربران غیرمجاز به اینترنت و شبکههای داخلی سازمان میشود.
سری ابزارهای امنیتی سیسکو ASA 5500 مدتهاست که در بازار حضور دارند و البته جزو محبوبترین فایرالهای سخت افزاری نیز محسوب میشوند. در این مقاله نحوه پیکربندی فایروال سیسکو سری 5500 را مورد بررسی قرار میدهیم. خواهید دید که پیکربندی این ابزار برای انجام اعمال پایهای تا چه اندازه ساده است ؛ اعمالی که برای فراهم کردن دسترسی ساده و محدود به اینترنت، دسترسی و مدیریت امن فایروال ASA و بسیاری موارد دیگر کافی هستند.
یکی از موضوعات کلیدی که مهندسان تازهکار باید در نظر داشته باشند این است که پیکربندی فایروالهای کوچک مانند ASA 5505 تفاوت چندانی با مدلهای بزرگتری مثل ASA 5520 ندارد. در واقع، فرآیند پیکربندی در تمام فایروالهای سری ASA 5500 تا حد زیادی مشابه است، که این خبر خوبی برای افراد تازهکار محسوب میشود.
تفاوتهای اصلی بین مدلهای مختلف این سری بیشتر به مجوزهای فعالشده، تعداد اینترفیسهای فیزیکی، و ماژولهای سختافزاری موجود برمیگردد. برای مثال، مدل ASA 5505 دارای طراحی متفاوتی در اینترفیسها نسبت به مدلهای ASA 5520 یا ASA 5510 است، اما اصول کلی پیکربندی تغییری نمیکند. بنابراین، اگر بتوانید یک فایروال کوچک مثل ASA 5505 را پیکربندی کنید، کار با مدلهای بزرگتر نیز برای شما دشوار نخواهد بود.
برای اطمینان از پیکربندی صحیح و کامل فایروال Cisco ASA 5500، در اینجا یک چکلیست کاربردی ارائه شده است که تمامی مراحل ضروری را پوشش میدهد:
تنظیمات پایهای: تعیین نام میزبان (hostname)، پیکربندی رمز عبور، Enable و غیرفعال کردن گزارشگیری ناشناس
پیکربندی اینترفیسها: تخصیص آدرسهای IP برای اینترفیسها یا VLANها (در مدل ASA 5505) و افزودن توضیحات مربوطه
تعریف نقش اینترفیسها: تنظیم اینترفیس inside (شبکه داخلی) و outside (شبکه عمومی) با سطوح امنیتی مناسب
تنظیم مسیرهای شبکه: مشخص کردن Gateway پیشفرض و تعریف مسیرهای استاتیک برای دسترسی بهتر
مدیریت از طریق Web/CLI: فعالسازی دسترسی مدیریتی از طریق HTTP روی اینترفیس inside
پیکربندی NAT: راهاندازی ترجمه آدرس شبکه (NAT) برای ارتباط ایمن کاربران داخلی با اینترنت
فعالسازی DHCP Server: تنظیم سرور DHCP برای اختصاص خودکار آدرسهای IP در شبکه داخلی
احراز هویت AAA: پیکربندی احراز هویت کاربر با استفاده از پایگاه داده محلی (Local Database)
مدیریت از راه دور: اجازه دسترسی مدیریتی SSH و Telnet برای اینترفیسهای inside و outside
ایجاد و پیکربندی Object-Groups: گروهبندی پروتکلهای TCP/UDP جهت سهولت در مدیریت لیستهای دسترسی (ACLs)
تعریف لیستهای دسترسی (ACLs): تنظیم قوانین امنیتی برای کنترل ترافیک روی اینترفیسهای inside و outside
اعمال ACLs روی اینترفیسها: اطمینان از اجرای صحیح لیستهای دسترسی برای مدیریت ترافیک
فعالسازی لاگگیری و اشکالیابی: تنظیم ثبت وقایع و خطاها برای تحلیل و رفع مشکلات احتمال
نکته مهم: برای جلوگیری از از دست رفتن تنظیمات فایروال در صورت قطعی برق یا ریستارت دستگاه، همیشه پیکربندی را ذخیره کنید. میتوانید به راحتی با دستور write memory این کار را انجام دهید.
ASA5505(config)# write memory
Building configuration…
Cryptochecksum: c0aee665 598d7cd3 7fbfe1a5 a2d40ab1
3270 bytes copied in 1.520 secs (3270 bytes/sec)
[OK]برای فعال کردن کلمه عبور enable، که امکان دسترسی به حالت کاربری Priviledge را به کاربر میدهد و سپس پیکربندی کاربرانی را که به فایروال دسترسی دارند، اقدام میکنیم. فایروال سیسکو در هنگام ورود، نامکاربری از کاربر درخواست نمیکند اما کلمه عبور enable پیش فرض cisco است که برای دسترسی به حالت کاربری Priveledge ضروری میباشد:
Ciscoasa> enable
Password: cisco
ciscoasa# configure terminal
ciscoasa(config)#
***************************** NOTICE *****************************
Help to improve the ASA platform by enabling anonymous reporting,
which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall
Would you like to enable anonymous error reporting to help improve
the product? [Y]es, [N]o, [A]sk later: N
In the future, if you would like to enable this feature,
issue the command “call-home reporting anonymous”.
At this point we need to note that when starting off with the factory default configuration, as soon as we enter the ‘configure terminal’ command, the system will ask if we would like to enable Cisco’s call-home reporting feature. We declined the offer and continued with our setup:
ciscoasa(config)# hostname ASA5505
ASA5505(config)# enable password firewall.cx
ASA5505(config)# username admin password s1jw$528ds2 privilege 15
پارامتر privilege 15 در انتهای دستور بالا به این منظور استفاده میشود که به سیستم اعلام کند کاربر ایجادشده باید دسترسی کامل به تمامی دستورات پیکربندی داشته باشد؛ از جمله امکان پاککردن تنظیمات و فایلهای موجود در حافظه Flash (مانند سیستمعامل).
میتوانید پورت مدیریتی خود را بر اساس مدل دستگاه را پیدا کنید و آن را کانفیگ کنید یا اینکه از هر پورتی که میخواهید برای ترافیک مدیریتی، استفاده کنید.
ASA5505(config)# interface management0/0
ASA5505(config-if)# nameif MGMT
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5505(config-if)# no shutdown
!
Allow SSH access
ASA5505(config)# aaa authentication ssh console LOCAL
ASA5505(config)# crypto key generate rsa
ASA5505(config)# ssh 192.168.1.0 255.255.255.0 MGMT
برای دستگاه، پورتهای Inside و Outside را آدرسدهی کنید (IP دهید) و مسیر پیشفرض (Default Gateway) را مشخص نمایید.
ASA5505(config)# interface GigabitEthernet0/0
ASA5505(config-if)# nameif outside
ASA5505(config-if)# ip address 203.0.113.1 255.255.255.0
ASA5505(config-if)# security-level 0
ASA5505(config-if)# no shutdown
!
ASA5505(config)# interface GigabitEthernet0/1
ASA5505(config-if)# nameif inside
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.3.50 255.255.255.0
ASA5505(config-if)# no shutdown
!
ASA5505(config)# route outside 0.0.0.0 0.0.0.0 203.0.113.254فایروال ASA به صورت خودکار سطح امنیتی را برای اینترفیسهای داخلی ۱۰۰ و برای اینترفیسهای خارجی ۰ تنظیم میکند. ترافیک میتواند از سطح بالا به سطح پایین جریان داشته باشد (از خصوصی به عمومی) اما مسیر برعکس قابل استفاده نیست مگر اینکه صراحتا به کمک لیستهای کنترل دسترسی مشخص شده باشد. برای تغییر سطح امنیتی یک اینترفیس از دستور security-level xxx استفاده میکنیم که میتوان XXX را با عددی در محدوده ۰ تا ۱۰۰ جایگزین کرد. هر چه قدر عدد بزرگتر باشد، سطح امنیتی بالاتر است. اینترفیس های DMZ به صورت پیش فرض با سطح امنیتی ۵۰ پیکربندی میشوند.
ASA5505(config)# object network INSIDE-NET
ASA5505(config-network-object)# subnet 192.168.3.0 255.255.255.0
ASA5505(config-network-object)# nat (inside,outside) dynamic interface
ASA5505(config)# access-list OUTSIDE-IN extended permit icmp any any
ASA5505(config)# access-group OUTSIDE-IN in interface outside
!
# Block specific traffic
ASA5505(config)# access-list INSIDE-OUT extended deny ip any host 192.168.1.100
ASA5505(config)# access-group INSIDE-OUT in interface inside
فعالسازی Failover به شما کمک میکند در صورت خرابی یکی از فایروالها، ترافیک به دستگاه دیگر منتقل شود.
روی فایروال اصلی (Primary):
ASA5505(config)# failover lan unit primary
ASA5505(config)# failover lan interface GigabitEthernet0/2
ASA5505(config)# failover interfaces ip folink 10.10.1.1 255.255.255.0 standby 10.10.1.2
#optional
ASA5505(config)# failover link folink gigabitethernet0/2
ASA5505(config)# failover ipsec pre-shared-key a3rynsun
ASA5505(config)# failoverروی فایروال پشتیبان (Secondary):
ciscoasa (config)# failover lan unit secondary
ciscoasa (config)# failover lan interface GigabitEthernet0/2
INFO: Non-failover interface config is cleared on GigabitEthernet0/3 and its sub-interfaces
ciscoasa (config)# failover interfaces ip folink 10.10.1.1 255.255.255.0 standby 10.10.1.2
#optional
ciscoasa (config)# failover ipsec pre-shared-key a3rynsun
ciscoasa (config)# failoverبرای تحلیل رخدادها و خطاها، لاگگیری دقیق ضروری است.
مشاهده وقایع فایروال:
ASA5505# show logging
ASA5505# show conn detail
ASA5505# show access-list
ASA5505# show nat
NAT و PAT بهینهشده
Static NAT: ارائه آدرس عمومی برای سرور داخلی
Dynamic NAT: اختصاص آدرس خارجی به کاربران داخلی
Port Forwarding: هدایت درخواستهای خارجی به سرور داخلی
مدیریت ACLs برای کنترل ترافیک
بلاک کردن ICMP Flood
مجاز کردن ترافیک وب و بلاک کردن سایر پورتها
امنیت بیشتر با AAA
احراز هویت محلی برای SSH و HTTP
اتصال به RADIUS Server برای مدیریت کاربران
افزایش امنیت با IPS و Threat Detection
تشخیص حملات DDoS
Deep Packet Inspection (DPI) برای نظارت بر پروتکلها
پیکربندی VPN
Site-to-Site VPN با IKEv2
AnyConnect VPN برای دسترسی کاربران از راه دور
Failover و افزایش دسترسپذیری
Active/Standby Failover برای حفظ عملکرد در زمان خرابی
مانیتورینگ و لاگگیری
ثبت لاگ در Syslog Server
مشاهده رویدادها با show logging و show conn
مشکل در اینترنت → بررسی NAT و Route
مشکل در دسترسی از بیرون → بررسی ACL و gPort Forwardin
مشکل در VPN → بررسی تنظیمات IKEv2/IPSec
عدم دسترسی به فایروال → بررسی SSH و ASDM
کندی در شبکه → بررسی مصرف CPU و Sessionها
عدم ثبت لاگ → بررسی تنظیمات Syslog
پیکربندی فایروال Cisco ASA نیازمند شناخت دقیق مفاهیم NAT، ACL، VPN، AAA و مانیتورینگ است. با رعایت مراحل اساسی مانند تنظیم اینترفیسها، اعمال سیاستهای امنیتی، مدیریت دسترسیها و نظارت بر ترافیک میتوان امنیت شبکه را بهبود بخشید. همچنین، آشنایی با روشهای عیبیابی و بررسی لاگها و ارتباطات فعال در رفع مشکلات رایج بسیار مؤثر است. یک فایروال بهدرستی تنظیمشده، امنیت شبکه را تضمین میکند و عملکرد بهتری ارائه میدهد.
1- چطور فایروال ASA را به تنظیمات کارخانه برگردانیم؟
با استفاده از دستورات write erase و reload میتوان پیکربندی فعلی را پاک کرده و دستگاه را ریستارت نمود. پس از اجرای این دستورات، فایروال به تنظیمات پیشفرض کارخانه بازمیگردد.
2- چطور SSH و ASDM را فعال کنیم؟
فعالسازی SSH و ASDM امکان دسترسی مدیریتی امن از شبکه داخلی را فراهم میکند. برای این کار میتوانید دستورات زیر را استفاده کنید:
ASA5505(config)# ssh 192.168.3.0 255.255.255.0 inside
ASA5505(config)# http 192.168.3.0 255.255.255.0 inside
3- چرا ترافیک از خارج به سرور داخلی مسیریابی نمیشود؟
Static NAT برای سرور داخلی و ACLها برای ترافیک وروردی را بررسی کنید.