Crie regras NAT e políticas de segurança para a porta 443/80 em um Cisco ASA 5510

Question 1

Como esta é sua primeira vez com firewall, estou mencionando configurações extras que o ajudarão a aprender/depurar sobre a configuração do ASA

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Você pode adicionar log para ajudá-lo na depuração usando

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

O servidor syslog deve escutar na porta UDP 514 mensagens syslog do firewall. Eles são úteis na depuração de problemas ao experimentar o firewall antes de implantá-lo para produção.

É uma configuração de firewall extremamente insegura, pois o telnet está habilitado e também de todos os IPs internos. Além disso, tudo está sendo permitido. A ideia é ajudá-lo a testar a configuração do NAT sem se preocupar com ACLs.

Agora, para encaminhar conexões para a porta 80 para interface externa do ASA para algum uso do servidor

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Da mesma forma para uso 443

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Quando estiver confortável com o NAT, opte por ter dentro, fora e DMZ e configure a ACL restritiva para permitir apenas tráfego relevante.

Existem também outros tipos de NAT/PAT que você pode configurar no ASA.

Answer

Como esta é sua primeira vez com firewall, estou mencionando configurações extras que o ajudarão a aprender/depurar sobre a configuração do ASA

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Você pode adicionar log para ajudá-lo na depuração usando

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

O servidor syslog deve escutar na porta UDP 514 mensagens syslog do firewall. Eles são úteis na depuração de problemas ao experimentar o firewall antes de implantá-lo para produção.

É uma configuração de firewall extremamente insegura, pois o telnet está habilitado e também de todos os IPs internos. Além disso, tudo está sendo permitido. A ideia é ajudá-lo a testar a configuração do NAT sem se preocupar com ACLs.

Agora, para encaminhar conexões para a porta 80 para interface externa do ASA para algum uso do servidor

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Da mesma forma para uso 443

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Quando estiver confortável com o NAT, opte por ter dentro, fora e DMZ e configure a ACL restritiva para permitir apenas tráfego relevante.

Existem também outros tipos de NAT/PAT que você pode configurar no ASA.

Question 2

Usando a interface web (ASDM):

1. Adicione uma regra NAT estática. Vá para Configuração -> NAT. Clique em Adicionar e depois em "Adicionar regra NAT estática". Coloque suas informações de IP interno em Endereço Real e suas informações de IP externo em Tradução Estática. Marque "Ativar PAT" e coloque 80 (ou 443).

2. Modifique a política de segurança para permitir tráfego. Vá para Configuração -> Política de Segurança. Clique em Adicionar e crie uma regra que permita o tráfego de entrada da interface externa (qualquer origem) para o endereço IP interno (especificando a porta).

Answer

Usando a interface web (ASDM):

1. Adicione uma regra NAT estática. Vá para Configuração -> NAT. Clique em Adicionar e depois em "Adicionar regra NAT estática". Coloque suas informações de IP interno em Endereço Real e suas informações de IP externo em Tradução Estática. Marque "Ativar PAT" e coloque 80 (ou 443).

2. Modifique a política de segurança para permitir tráfego. Vá para Configuração -> Política de Segurança. Clique em Adicionar e crie uma regra que permita o tráfego de entrada da interface externa (qualquer origem) para o endereço IP interno (especificando a porta).

Question 3

Parece que isso não é respondido há algum tempo, mas tentarei explicar o que temos em nosso 5510.

Primeiro, ouvi dizer que surgem problemas se você tiver apenas um endereço IP externo/público. Você precisa fazer algumas configurações extras e não tenho certeza do que é. Presumo que você tenha pelo menos dois e um deles seja o IP externo do firewall. Usaremos um disponível abaixo.

No ASDM, vá Configuração -> Firewall -> Regras NAT

Clique em Adicionar -> Adicionar regra NAT estática

Original -> Interface: dentro
Original -> Fonte: [endereço IP interno]
Traduzido -> Interface: externa
Traduzido -> Usar endereço IP: [endereço IP público não utilizado]
Tradução de endereço de porta -> Habilitar tradução de endereço de porta
Tradução de endereço de porta -> Protocolo: TCP
Tradução de endereço de porta -> Porta original: http
Tradução de endereço de porta -> Porta traduzida: http

Clique OK. Você pode adicionar outra regra para https/443 quando tiver certeza de que http/80 está funcionando.

A seguir está uma parte que me confundiu quando comprei meu 5510, então certifique-se de saber quais coisas colocar e onde.

Vá para Regras de Acesso (ASDM -> Configuração -> Firewall -> Regras de Acesso)

Adicionar -> Adicionar regra de acesso

Interface: externa(não dentro)
Ação: Permitir
Fonte: qualquer
Destino: [o mesmo endereço IP público acima](não o IP interno)
Serviço: tcp/http, tcp/https

Clique OK

Deveria ser isso. Acredito que a ideia é permitir o acesso de segurança ao IP externo/público, então o NAT faz a tradução se a regra de segurança permitir.

Answer