sexta-feira, 6 de maio de 2016

Configuração Básica do Firewall Cisco ASA no Packet Tracer

Olá Pessoal,

Desde a versão 6.1.0 do Cisco Packet Tracer, lançado em junho/2014, existe a opção de o usuário inserir um firewall ASA 5505 em seus laboratórios a partir da paleta de componentes que fica localizada no canto inferior esquerdo da interface do simulador (seção Security). Ainda que as opções de configuração do dispositivo sejam bastante limitadas no simulador, pelo menos é possível começar a interagir um pouco com o sistema operacional dessa appliance de segurança que tem suas próprias particularidades em comparação ao tradicional IOS utilizado em switches e roteadores.


Figura. Visão Frontal do Firewall Cisco ASA 5505

O sistema do firewall ASA tem muitas particularidades que devem ser compreendidas antes de configurar o equipamento. A seguir farei uma síntese das características principais do firewall para que possamos avançar na resolução de um laboratório simples. Por padrão o ASA 5505 vem configurado com 2 VLANs:

  • VLAN 1: REDE INTERNA (inside) nas interfaces e0/1 até e0/7
  • VLAN 2: REDE EXTERNA (outside) na interface e0/0

Infelizmente no Packet Tracer ainda não é possível criar uma terceira VLAN vinculada a uma zona de segurança, por exemplo para servidores públicos em uma DMZ, porque o dispositivo possui apenas uma licença básica. Ao tentar fazê-lo no simulador, o leitor receberá a seguinte mensagem de erro:

"This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) with nameif already configured."

Uma característica importante do ASA é que, por padrão, todo tráfego entrante na interface outside é negado, a menos que sejam configuradas regras de acesso (ACL) que permitam um determinado perfil de tráfego entrante. Cada interface é associada a uma zona de segurança através do parâmetro nameif, como pode ser observado nas linhas abaixo. Além disso, cada interface possui um nível de segurança (security-level) que varia de 0 a 100, sendo 0 o nível menos seguro (padrão na interface outside) e 100 o nível mais seguro (padrão nas interfaces inside). A configuração desse parâmetro é importante porque outro comportamento padrão do ASA é que todo tráfego originado por uma interface mais segura pode atravessar em direção a uma interface menos segura, no entanto o contrário não é permitido, ou seja, todo tráfego vindo de uma interface menos segura não pode atravessar em direção a uma interface mais segura.

interface Ethernet0/0
  nameif outside
  security-level 0
!
interface Ethernet0/1
  nameif inside
  security-level 100

O objetivo deste artigo é explorar algumas das particularidades técnicas de configuração do firewall Cisco ASA-5505, o modelo de entrada da família ASA (Adaptive Security Appliance) que vem sendo substituído pelo ASA-5506-X. Para fazê-lo será utilizado o laboratório apresentado na figura abaixo, lembrando que estaremos restritos a alguns dos recursos que são suportados pelo simulador Packet Tracer.


Clique aqui para baixar o arquivo do laboratório (.pkt)

Observe que o cenário é simples, onde existe uma rede interna 192.168.0.0/24 conectada à Internet através de um ASA. A interface e0/1 do ASA que está definida na zona inside (VLAN 1) é o gateway da rede interna (192.168.0.1), enquanto que a interface e0/0 definida na zona outside (VLAN2) recebe do provedor um IP na Internet (203.0.113.1). As configurações são realizadas nas interfaces do tipo VLAN, já que múltiplas portas físicas normalmente são associadas a sua respectiva zona de segurança através de uma VLAN. A interface e0/0 está associada à VLAN 2 pelo comando padrão "switchport access vlan 2". A configuração de associação das interfaces pode ser alterada de acordo com o ambiente do usuário a partir do mesmo comando seguido da VLAN correspondente.

A resolução deste laboratório requer os seguintes comandos:

01. ciscoasa> enable
02. ciscoasa# configure terminal
03. ciscoasa(config)# hostname ASA-FW
04. ASA-FW(config) # interface vlan 1
05. ASA-FW(config-if)# nameif inside
06. ASA-FW(config-if)# security-level 100
07. ASA-FW(config-if)# ip address 192.168.0.1 255.255.255.0
08. ASA-FW(config-if)# exit
09. ASA-FW(config)# interface vlan 2
10. ASA-FW(config-if)# nameif outside
11. ASA-FW(config-if)# security-level 0
12. ASA-FW(config-if)# ip address 203.0.113.1 255.255.255.252
13. ASA-FW(config-if)# exit
14. ASA-FW(config)# route outside 0.0.0.0 0.0.0.0 203.0.113.2
15. ASA-FW(config)# object network NAT-LAN
16. ASA-FW(config-network-object)# subnet 192.168.0.0 255.255.255.0
17. ASA-FW(config-network-object)# nat (inside,outside) dynamic interface
18. ASA-FW(config-network-object)# exit 
19. ASA-FW(config)# access-list ENTRADA extended permit icmp any any
20. ASA-FW(config)# access-list ENTRADA extended permit tcp any eq www any
21. ASA-FW(config)# access-group ENTRADA in interface outside

As configurações básicas da rede interna (interface vlan 1) foram realizadas nas linhas 04-07, oportunidade em que definimos a zona inside (nameif), o nível mínimo de segurança (100) e o IP (192.168.0.1/24). As configurações básicas da rede externa (interface vlan 2) foram realizadas nas linhas 09-12, oportunidade em que definimos a zona outside (nameif), o nível máximo de segurança (0) e o IP (203.0.113.1). Na linha 14 foi adicionada uma rota default (0.0.0.0 0.0.0.0) direcionando ao provedor a saída do tráfego para a Internet. Nas linhas 15-17 criamos um objeto associado à rede interna para realização da tradução dos endereços (NAT), procedimento necessário para que as máquinas com endereços privados sejam capazes de receber resposta dos servidores da Internet endereçados publicamente. Nas linhas 19-21 criamos e aplicamos uma regra para permitir o recebimento de respostas ping (ICMP) para testar a conectividade das máquinas da rede interna com o host remoto (1.1.1.1), já que o comportamento padrão do ASA é negar todo tráfego vindo de uma interface com security-level menor que o destino. Reparem que também permitimos a entrada de qualquer tráfego web de resposta (porta de origem = 80), assim as máquinas clientes conseguem acessar o servidor web através do navegador.

As configurações básicas podem ser visualizadas através dos comandos abaixo:

ASA-FW# show ip
(...) Saída Omitida
Current IP Addresses:
Interface Name  IP Address   Subnet Mask      Method
Vlan1 inside    192.168.0.1  255.255.255.0    manual
Vlan2 outside   203.0.113.1  255.255.255.252  manual


ASA-FW# show switch vlan

VLAN Name    Status Ports
---- -------------------------------- --------- -------------------------------
1    inside  up     Et0/1, Et0/2, Et0/3, Et0/4, Et0/5, Et0/6, Et0/7
2    outside up     Et0/0


ASA-FW# show route
(...) Saída Omitida

Gateway of last resort is 203.0.113.2 to network 0.0.0.0

C 192.168.0.0 255.255.255.0 is directly connected, inside
203.0.113.0/30 is subnetted, 1 subnets
C 203.0.113.0 255.255.255.252 is directly connected, outside

S* 0.0.0.0/0 [1/0] via 203.0.113.2



ASA-FW# show access-list
(...) Saída Omitida
access-list ENTRADA line 1 extended permit icmp any any(hitcnt=13) 0x3843e9e3
access-list ENTRADA line 2 extended permit tcp any eq www any(hitcnt=3) 0x7b11a3a4

Façam seus testes...

Samuel. 

18 comentários:

  1. Ola professor Samuel

    Como faco para adquirir os seus livros??

    ResponderExcluir
  2. Olá professor, comprei seu livro e estou me divertindo com os labs!
    Quanto a esse post do ASA 5505, uma dúvida! Esse Router seria do ISP e não da rede, é isso? Se tivesse um Router nessa rede não seria necessário configurar NAT-LAN, ou sim?

    abraço

    ResponderExcluir
    Respostas
    1. O roteador diretamente conectado ao ASA é do provedor, apenas para representar a Internet. Nesse laboratório simples o próprio ASA faz o papel de gateway da rede interna. O NAT tem que ser configurado nos elementos de borda sempre que são utilizados endereços privados, por exemplo nesse cenário. Caso houvesse um roteador antes do ASA fazendo o papel de gateway na rede interna, então o NAT poderia ser configurado nele mesmo.

      Excluir
  3. Ola professor
    Nesse caso de o roteador ser o gateway da rede interna, então o ASA teria que ser configurado com IP assim como foi configurado no Lab acima ou ele funcionaria sem IP?

    ResponderExcluir
    Respostas
    1. Uma possibilidade comum seria configurá-lo com IP, sendo que haveria uma sub-rede (por ex /30) entre o ASA e o roteador vizinho.

      Excluir
  4. Professor Samuel, será que tens uma vídeo aula que mostra a configuração do firewall no Packet Tracer 6.3

    ResponderExcluir
    Respostas
    1. Não tenho uma videoaula sobre configuração do ASA, mas no meu canal existe uma videoaula teórico/prática sobre configuração de firewall via ACL em roteadores.

      https://youtu.be/EU_x-cx76oA

      Excluir
  5. Boa noite professor!
    Seria uma "boa prática" colocar uma rede inteira e suas vlans com gateway do ASA?

    ResponderExcluir
    Respostas
    1. Não sei se entendi a lógica da sua pergunta. Normalmente o que se faz é configurar o ASA como gateway de uma ou mais sub-redes.

      Excluir
  6. Pois poderia ser o proximo salto, o roteador , por exemplo.
    Essa era a duvida

    ResponderExcluir
  7. Boa tarde, eu tenho um ASA 5506 estou tendo dificuldade em redirecionar o público ip 200,188,213,171 ----> para obter o endereço IP em 172.18.37.11:8080 que o nosso nvr Câmeras e obter acesso externo no navegador digitando;
    Http ://200.188.213.171:8080

    ResponderExcluir
  8. Já tentei configurar dessa forma mas da erro

    config-network-object)# nat (inside,outside) static 200.188.213.171 ser$
    ERROR: empty object/object-group(s) detected. NAT Policy is not downloaded

    ResponderExcluir
  9. Professor, boa tarde.
    O senhor poderia indicar um livro, material ou curso, para o ASA?

    Obrigado.

    ResponderExcluir
  10. Professor boa tarde

    Poderia tirar uma duvida por favor...

    Estas configurações que foi feita me corrigi se tiver errado a rede 192.168.0.0 conseguiria acessar se caso tivesse outro serve por exemplo 2.2.2.2
    Como ficaria a configuração para que a rede 192.168.0.0 acessasse somente o server 1.1.1.1
    Poderia tirar esta duvida por favor?

    Obrigado

    ResponderExcluir
  11. Quando faço o passo 7 tenho este erro
    ASA-FW(config-if)#ip address 192.168.0.1 255.255.255.252
    Interface address is not on same subnet as DHCP pool.
    Como resolve?

    ResponderExcluir