Cree reglas NAT y políticas de seguridad para el puerto 443/80 en un Cisco ASA 5510

Question 1

Dado que esta es la primera vez que usa un firewall, menciono una configuración adicional que lo ayudará a aprender/depurar la configuración de ASA.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Puede agregar registros para ayudarlo con la depuración usando

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

El servidor syslog debe escuchar en el puerto UDP 514 los mensajes syslog del firewall. Estos son útiles para depurar problemas mientras se experimenta con el firewall antes de implementarlo para producción.

Esta es una configuración extremadamente insegura del firewall ya que telnet está habilitado y también desde todas las IP internas. Además todo está permitido. La idea es ayudarle a probar la configuración NAT sin preocuparse por las ACL.

Ahora para reenviar conexiones al puerto 80 para la interfaz externa de ASA para algún uso del servidor

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

De manera similar para el uso 443

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Una vez que se sienta cómodo con NAT, opte por tener dentro, fuera y DMZ y configure ACL restrictiva para permitir solo el tráfico relevante.

También hay otros tipos de NAT/PAT que puedes configurar en ASA.

Answer

Dado que esta es la primera vez que usa un firewall, menciono una configuración adicional que lo ayudará a aprender/depurar la configuración de ASA.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Puede agregar registros para ayudarlo con la depuración usando

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

El servidor syslog debe escuchar en el puerto UDP 514 los mensajes syslog del firewall. Estos son útiles para depurar problemas mientras se experimenta con el firewall antes de implementarlo para producción.

Esta es una configuración extremadamente insegura del firewall ya que telnet está habilitado y también desde todas las IP internas. Además todo está permitido. La idea es ayudarle a probar la configuración NAT sin preocuparse por las ACL.

Ahora para reenviar conexiones al puerto 80 para la interfaz externa de ASA para algún uso del servidor

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

De manera similar para el uso 443

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Una vez que se sienta cómodo con NAT, opte por tener dentro, fuera y DMZ y configure ACL restrictiva para permitir solo el tráfico relevante.

También hay otros tipos de NAT/PAT que puedes configurar en ASA.

Question 2

Usando la interfaz web (ASDM):

1. Agregue una regla NAT estática. Vaya a Configuración -> NAT. Haga clic en Agregar y luego en "Agregar regla NAT estática". Introduzca su información de IP interna en Dirección real y su información de IP externa en Traducción estática. Marque "Habilitar PAT" e ingrese 80 (o 443).

2. Modifique la política de seguridad para permitir el tráfico. Vaya a Configuración -> Política de seguridad. Haga clic en Agregar y cree una regla que permita el tráfico entrante desde la interfaz externa (cualquier fuente) a la dirección IP interna (especificando el puerto).

Answer

Usando la interfaz web (ASDM):

1. Agregue una regla NAT estática. Vaya a Configuración -> NAT. Haga clic en Agregar y luego en "Agregar regla NAT estática". Introduzca su información de IP interna en Dirección real y su información de IP externa en Traducción estática. Marque "Habilitar PAT" e ingrese 80 (o 443).

2. Modifique la política de seguridad para permitir el tráfico. Vaya a Configuración -> Política de seguridad. Haga clic en Agregar y cree una regla que permita el tráfico entrante desde la interfaz externa (cualquier fuente) a la dirección IP interna (especificando el puerto).

Question 3

Parece que hace tiempo que no se responde a esto, pero intentaré explicar lo que tenemos en nuestro 5510.

Primero, escuché que surgen problemas si solo tienes una dirección IP pública/externa. Tienes que hacer alguna configuración adicional y no estoy seguro de cuál es. Asumiré que tienes al menos dos y uno de ellos es la IP externa del firewall. Usaremos uno disponible a continuación.

En ASDM, vaya a Configuración -> Firewall -> Reglas NAT

Haga clic en Agregar -> Agregar regla NAT estática

Original -> Interfaz: interior
Original -> Fuente: [dirección IP interna]
Traducido -> Interfaz: afuera
Traducido -> Usar dirección IP: [dirección IP pública no utilizada]
Traducción de dirección de puerto -> Habilitar traducción de dirección de puerto
Traducción de dirección de puerto -> Protocolo: TCP
Traducción de dirección de puerto -> Puerto original: http
Traducción de dirección de puerto -> Puerto traducido: http

Haga clic en Aceptar. Puede agregar otra regla para https/443 una vez que esté seguro de que http/80 funciona.

La siguiente es una parte que me confundió cuando compré mi 5510 por primera vez, así que asegúrese de saber qué cosas poner y dónde.

Vaya a Reglas de acceso (ASDM -> Configuración -> Firewall -> Reglas de acceso)

Agregar -> Agregar regla de acceso

Interfaz: exterior(no en el interior)
Acción: Permiso
Fuente: cualquiera
Destino: [la misma dirección IP pública de arriba](no la IP interna)
Servicio: tcp/http, tcp/https

Haga clic en Aceptar

Eso debería ser todo. Creo que la idea es permitir el acceso de seguridad a la IP pública/externa, luego NAT hace la traducción si la regla de seguridad lo permite.

Answer