Cisco ASA Introduktion & vejledning. Opsætning af DMZ-zone

Relaterede dokumenter
Cisco ASA Vejledning. Opsætning af DMZ-zone

Cisco ASA Vejledning. Opsætning af Site-to-Site VPN

Cisco ASA Introduktion & vejledning. Opsætning af Site-to-Site VPN

Grundopsætning af router.

LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS

Projektopgave. Byg et netværk til gruppens nye firma!

Projektopgave Operativsystemer I

Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel

General setup. General konfiguration. Rasmus Elmholt V1.0

IP0027. Brugervejledning ver Side 1 af 5. IP0027 Dansk brugervejledning - tillæg til brugervejledning på CD-rom på engelsk.

Projektoplæg - AMU kursus Netteknik - Server - Videregående

Ruko SmartAir. Updater installation

Spørgsmål: Hvordan kan jeg sætte routeren op uden brug af CD en? Svar: Routeren kan sættes op manuelt iht. step by step guiden nedenfor!

Cipherlab CPT8x00 med Ethernet Cradle

Index. Indledning/formål...2 Hardware...3. Cisco 2501 Router... 3 Routerens interfaces...3

Netteknik 1. AMU kursus nr Netteknik 1 (AMU 44947) - anvendelse af teknologier og begreber. Formålet med kursus

IP Telefoni. Modul 3

IP Modul report / Netværks software manual 1.0 Funktions beskrivelse:

Åbning af porte og UPnP

Netværk & elektronik

AFN2208N+ Wi-Fi forstærker 300mBit op til 2500 meters rækkevidde vandtæt.

Netteknik 1. AMU kursus nr Netværk grundlæggende ( AMU Netteknik 1 ) - anvendelse af teknologier og begreber. Formålet med kursus

SSSystems.local. Netværk. Sikkerhed. Webserver

Xenapps/Citrix klient opsætningsvejledning til Integra driftløsningen. Xenapps/Citrix basisport. Xenapps/Citrix Service. Xenapps/Citrix XML service

Dansk version. Introduktion. Foran. RO003/RO003UK Sweex bredbåndsrouter

Multiguide til C903IP

Netteknik 1. - anvendelse af teknologier og begreber. AMU kursus nr

Teknisk beskrivelse til TDC Managed Firewall

Netteknik 1 Byg et netværk med SO-HO router Øvelse

Router U270 funktionsbeskrivelse

Basal TCP/IP fejlfinding

Raspberry Pi setup til repeater styring

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!

Netværks opsætning af IP modulet:

MobileStatus Server Installation og konfigurationsvejledning

Installationsmanual IP-Kamera Integration

Produktspecifikationer Hosted Firewall Version 2.5

VLAN - Virtual Local Area Network

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0

Introduktion OBS: Forberedelse

VLAN. - mange logiske net på ét fysisk! Netteknik 1

Routeren. - og lag 3 switchen! Netteknik 1

Netværkstopologi. Netteknik 1. Netteknik 1 (AMU 44947) Mercantec Den logiske og den fysiske! Netværkstopologi

Opsætning af FTP- og webserver 22. januar 2007

Installation af Bilinfo på Windows

ProjectWise Explorer Installations Guide

OPSÆTNING AF VPN TIL KUNDER

Trådløs-N Mini Router Brugermanual

H3 It-Supporter Jan. 2010

Westermo GDW-11 GSM Modem forbindelse til CXxxxx

Netværkstopologi. - Den logiske og den fysiske! Netteknik 1

Quickguide. Dansk quickguide til Nexus IP opsætning

NETVÆRKSKURSUS Oktober November jmt

Undervisningen, H3. Hovedforløb 3. Total antal Lektioner. Operativsystemer 3. Netværk 3. Projekt. Områdefag: Netværk

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

VLAN. - mange logiske net på ét fysisk! Netteknik 1

TDC MultiBase Fiber. Godt i gang guide

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

Programmering af CS7050 TCP/IP modul

et netværk, så du kan dele filer og inter netforbindelse.

Rådgivning når viden gør en forskel

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0.

Opbygning af firewall regler. Overvejelser med mere

UDP Server vejledning

VPN-klienten SecureClient for TDC Managed Firewall

Solcellespecialisten Web opsætning af Kostal Inverter. Solcellespecialisten A/S - www. Solcellespecialisten.dk - Telefon

Updater KINO. Opsætning og installation

SIGN-OFF DOKUMENT. Dokumentet faxes, mailes eller sendes retur til: KUNDE OPLYSNINGER SALGSKONSULENT PRODUKT

IP opsætning på DLB bridge enheder

Application Note: AN-Z05

MM Hul-Igennem-Test i Prod. Information til kunder

IPv6 Hvor er vi i dag? Erik Løth el@nworks.dk

Opsætning af ASUS Router

VLAN. VLAN og Trunks. Region Syd Grundlæggende netværk

Dansk version. Introduktion. Modem set forfra eller oppefra. MO251V2 Sweex Wireless ADSL 2/2+ modem/router 54 Mbps Annex A

Hurtig start. N300 WiFi Range-udvider Model WN3100RPv2

Datatekniker med programmering som speciale

SNMP Simple Network Management Protocol. Henrik Thomsen/EUC MIDT 2007

Nexus IP Quickguide. Til alle Nexus VP og F modeller

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Guide til opsætning og sikring af trådløst netværk.

Transkript:

Cisco ASA 5505 Introduktion & vejledning Opsætning af DMZ-zone

Hvad er en DMZ-zone??? En demilitariseret zone eller ingen mands land! http://en.wikipedia.org/wiki/dmz_%28computing%29 3-legged network DMZ Dual firewall DMZ

Målet for vores ASA netværk:

Bemærk! ASA5505 er ingen almindelig Cisco router! Den kører med sit eget og helt specielle software. Man kan som udgangspunkt IKKE pinge igennem en ASA! Se vejledningen der åbner for ping på de næste sider Det er vigtigt at Google dokumenter til korrekt ASA software version for at finde de rette vejledninger ;-) Udskift IP adresserne i denne vejledning med jeres egne efter behov! Held og lykke ;-)

Reset procedure Factory defaults reset procedure: asa>en asa#conf t asa(config)#config factory-default Vent på at konfigurationen er færdig og lav så en reload Svar ja (Yes) til spørgsmålet om at gemme konfigurationen Vent på at ASA en er klar igen

Grundkonfiguration af en ASA En grundkonfiguration på en ASA5505 omfatter f.eks.: Setting the Login Password Changing the Enable Password Setting the Hostname Setting the Domain Name Feature History for the Hostname, Domain Name, and Passwords Se en vejledning hos Cisco til ASA version 9.x her: http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/basic_hostname_pw.html#pgfid-1045399

Konfiguration af SSH access En konfiguration af SSH adgang på en ASA5505: Metode 1 - med lokal brugerdatabase i brug: ASA(config)#username username password password ASA(config)#aaa authentication ssh console LOCAL Metode 2 - er at bruge default værdierne (ikke optimalt!): ASA(config)#passwd password Brugernavnet er ASA og password er cisco Fortsættes næste side

Konfiguration af SSH access En konfiguration af SSH adgang på en ASA5505 (fortsat): Opret nu RSA kryptonøglene til SSH: ASA(config)#crypto key generate rsa modulus 1024 Justér hvilke IP adresser som må bruge SSH på LAN og WAN: ASA(config)#ssh 192.168.1.250 255.255.255.255 inside ASA(config)#ssh 192.168.63.xx 255.255.255.255 outside Fortsætte på næste side

Konfiguration af SSH access En konfiguration af SSH adgang på en ASA5505 (fortsat): Sæt eventuelt versionsnummer (1 eller 2) og timeout i minutter: ASA(config)# ssh version version_number ASA(config)#ssh timeout minutes Exit & write mem! Forbind fra en klient via f.eks. PuTTY og SSH. Virker det? ;-) Se vejledning hos Cisco til ASA version 9.x her: http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118075-configure-asa-00.html

Tillad ping (ICMP) gennem ASA Konfiguration af tillad ping -policy på ASA5505: ASA(config)# class-map icmp-class ASA(config-cmap)# match default-inspection-traffic ASA(config-cmap)# exit ASA(config)# policy-map icmp_policy ASA(config-pmap)# class icmp-class ASA(config-pmap-c)# inspect icmp ASA(config-pmap-c)# exit ASA(config-pmap)# exit ASA(config)# service-policy icmp_policy interface outside Exit & write mem!

Korrektion af VLAN2 IP mm. Ny statisk IP adresse til VLAN2 (Outside): asa(config)#int vlan2 asa(config-if)#ip address 192.168.63.35 255.255.255.0 asa(config-if)#exit Ny statisk route til gateway of last resort: asa(config)#route outside 0.0.0.0 0.0.0.0 192.168.63.1 Slet de gamle NAT regler: asa(config)#no object network obj_any

Konfiguration af nyt VLAN3 Oprettelse af ekstra VLAN3 til DMZ: asa(config)#int vlan3 asa(config-if)#nameif dmz asa(config-if)#security-level 50 asa(config-if)# ip address 10.0.0.1 255.255.255.0 asa(config-if)# exit asa(config)#

Konfiguration af port til DMZ Tilslutning af port 2 til VLAN3/DMZ: asa(config)#interface Ethernet0/2 asa(config-if)#switchport access vlan 3 asa(config-if)#exit asa(config)#

Opsætning af DHCP i DMZ Konfiguration af DHCP i DMZ-zonen: asa(config)#dhcpd address 10.0.0.100-10.0.0.131 dmz asa(config)#dhcpd dns 192.168.63.1 interface dmz asa(config)#dhcpd enable dmz Tips: Husk at gemme running-config indimellem: asa(config)exit asa#write

Opsætning af dynamisk NAT/PAT Konfiguration af LAN mod Internet Dynamisk NAT: asa(config)#object network inside-subnet asa(config-network-object)#subnet 192.168.1.0 255.255.255.0 asa(config-network-object)#nat (inside,outside) dynamic interface Konfiguration af DMZ mod Internet Dynamisk NAT: asa(config)#object network dmz-subnet asa(config-network-object)#subnet 10.0.0.0 255.255.255.0 asa(config-network-object)#nat (dmz,outside) dynamic interface

Definer extern webserver adresse Konfiguration af nyt object til extern webserver ip adresse: asa(config)#object network webserver_external_ip Host 192.168.63.36 Denne adresse skal vælges enten som en IP range eller en host IP. I dette tilfælde vælges blot en enkelt host adresse, 192.168.63.36. Den skal naturligvis være ledig For at externe klienter senere kan ramme vores service skal den valgte adresse naturligvis være én som routes hen til vores offentlige ip på Outside interfacet.

Statisk PAT af port 80 til DMZ Statisk PAT-regel af port 80 TCP trafik ind til server i DMZ: Der oprettes et specielt network object til port 80 PAT: asa(config)#object network webserver host 10.0.0.10 nat (dmz,outside) static webserver_external_ip service tcp www www

Tillad HTTP trafik ind i DMZ Konfigurering af port 80 tcp ind til webserveren i DMZ: Der oprettes en ACL der tillader port 80 trafik ind på DMZ: asa(config)#access-list outside_acl extended permit tcp any object webserver eq www Den nye ACL knyttes til interface Outside i retning IN: asa(config)#access-group outside_acl in interface outside

Statisk PAT af port 443 til DMZ Statisk PAT af port 443 TCP trafik ind til server i DMZ: Der oprettes et specielt network object til port 443 PAT: object network webserver_https host 10.0.0.10 nat (dmz,outside) static webserver_external_ip service tcp https https Bemærk: Husk at gemme = write

Tillad HTTPS trafik ind i DMZ Konfigurering af port 443 tcp ind til webserveren i DMZ: Der oprettes en ACL der tillader port 443 trafik ind på DMZ: asa(config)#access-list outside_acl extended permit tcp any object webserver_https eq https ACL en er allerede knyttet til interface Outside i retning IN, så her behøver vi ikke gøre mere.

Tillad DNS fra DMZ til LAN Eksempel: ACL der tillader port 53 UDP trafik fra DMZ til LAN: asa(config)#object network dns-server asa(config-network-object)#host 192.168.1.200 asa(config-network-object)#exit asa(config)#access-list dmz_acl extended permit udp any object dns-server eq domain asa(config)#access-list dmz_acl extended deny ip any object inside-subnet asa(config)#access-list dmz_acl extended permit ip any any asa(config)#access-group dmz_acl in interface dmz

Test med packet-tracer i ASA Test (simulering) af Internet forbindelse fra LAN på ASA: Cisco ASA IOS indeholder en packet-tracer feature, som kan simulere en pakketransmission gennem maskinen med de nuværende regler. Prøv engang følgende tests og se om det hele virker: asa# packet-tracer input inside tcp 192.168.1.100 12345 8.8.8.8 80 asa# packet-tracer input inside tcp 192.168.1.100 12345 8.8.8.8 443 asa# packet-tracer input outside tcp 192.168.63.123 12345 192.168.63.36 80 asa# packet-tracer input outside tcp 192.168.63.123 12345 192.168.63.36 443 Husk at ethvert interface involveret i pakketransporten skal være tilsluttet et kabel og være oppe for at det vil virke ;-)

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback