Firewall ASA5505 DMZ

DMZ

Firewall ASA5505 DMZ

La sicurezza perimetrale si occupa di proteggere una rete nei punti in cui essa è a contatto con il mondo esterno.  Nei casi più semplici, le uniche due zone, LAN e WAN sono attestate sui due lati del firewall. Il lato LAN è il segmento privato e protetto, e ad esso appartengono tutti gli host ed i server i cui servizi sono riservati all’uso interno. Se ci si trova nella necessità di esporre all’esterno alcuni servizi. Ad esempio la posta elettronica o un server web . E’ possibile  la creazione di una terza zona: la DMZ. Essa è un’area in cui sia il traffico WAN che quello LAN sono fortemente limitati e controllati;  si tratta di una zona, che viene attestata su una ulteriore interfaccia di rete del firewall.

Una DMZ si può realizzare mediante un firewall (Asa5505) (o con un router comprensivo di firewall) con tre connessioni separate:

  1. una per Internet
  2. una per la LAN
  3. una terza per la DMZ.

Vediamo come configurare il NAT (Network Address Translation) e le ACL list su un firewall ASA5505 per consentire la connettività in uscita e in entrata.

Consideriamo la rete in figura

rete Con dmz con firewall asa5505
rete Con dmz con firewall asa5505

Bisogna configurare il firewall:

doppio click sul firewall e entriamo nella cli


cli del firewall asa5505

Abilitiamo con il comando enable, e controlliamo la configurazione con il comando sh run

ciscoasa#sh run
: Saved
ASA Version 8.4(2)
hostname ciscoasa
names
interface Ethernet0/0
switchport access vlan 2

interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp

dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside

Firewall: configurare gli indirizzi ip

Dalla configurazione si vede che di default si hanno due vlan:

  1. Vlan 1 inside con un livello di sicurezza pari a 100
  2. Vlan 2 outside con livello di sicurezza pari a 0(internet)

inoltre è configurato come server dhcp  se vogliamo inserire i nostri indirizzi bisogna disattivare questa funzione

ciscoasa#configure terminal

ciscoasa(config)#no dhcpd address 192.168.1.5-192.168.1.36 inside

ciscoasa(config)#no dhcpd enable inside

ciscoasa(config)#no dhcpd enable outside

adesso inseriamo i nostri indirizzi (gateway predefinito per la vlan 1 ip publico per la vlan 2)

ciscoasa(config)# interface vlan1

ciscoasa(config-if)#ip address 192.168.0.254 255.255.255.0
ciscoasa(config-if)#exit
ciscoasa(config)#interface vlan 2
ciscoasa(config-if)#ip address 198.123.1.1 255.255.255.0
ciscoasa(config-if)#exit

 Firewall: configurazione dell’interfaccia DMZ

Creiamo adesso la vlan 3 per la dmz e la associamo alla porta Et0/2, iniziamo creando la vlan3 identificata da questi parametri:

  • Indirizzo ip e maschera:192.168.10.1 255.255.255.0
  • Nome: DMZ
  • Livello di sicurezza: 50 (1-99)
  • In più possiamo dire di non avere nessuna interfaccia diretta con la vlan1

ciscoasa(config)#int vlan 3
ciscoasa(config-if)#no forward interface vlan 1
ciscoasa(config-if)#nameif dmz
INFO: Security level for “dmz” set to 0 by default.
ciscoasa(config-if)#security-level 50
ciscoasa(config-if)#

Assegniamo la nuova vlan all’interfaccia ethernet 0/2.

ciscoasa(config)#interface eth0/2
ciscoasa(config-if)#switchport access vlan 3

Ripetiamo queste due istruzioni per le vlan 1 e 2 e le associamo alle porte eth0/1 e eth0/0

Assegnamo l’indirizzo ip alla vlan 3

ciscoasa(config)#int vlan 3
ciscoasa(config-if)#ip address 192.168.10.254 255.255.255.0
ciscoasa(config-if)#

Firewall configurazione delle route

Sempre sopra al terminale di configurazione del firewall, andiamo a eseguire il comando:

ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 198.123.1.2

In questo modo il traffico verrà indirizzato all’esterno dal router.

Dal firewall facciamo un ping alle tre reti per controllare se tutto è configurato in modo corretto

 

configurazione delle route nel firewall

Configurare il NAT LAN-Inside

Per consentire alla LAN-Inside di accedere a internet si deve configurare il Nat sul firewall.

ciscoasa(config)#object network LAN-inside
ciscoasa(config-network-object)#subnet 192.168.0.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
ciscoasa(config-network-object)#

Controlliamo che l’indirizzo viene nattato facendo un ping dap pc1 al server su internet

 

firewall controllo del nat

Firewall configurare il Nat  Statico per la DMZ

Configuriamo il nat statico per la DMZ 

ciscoasa(config)#object network LAN-DMZ
ciscoasa(config-network-object)#host 192.168.10.1 255.255.255.0
ciscoasa(config-network-object)#nat (dmz,outside) static 198.123.1.10
ciscoasa(config-network-object)#

Questa immagine ha l'attributo alt vuoto; il nome del file è Schermata-2019-05-03-alle-16.41.56.png

Firewall configurazione delle (ACCESS LIST) Lan inside

Bisogna specificare quali pacchetti far passare e quali bloccare. Come esempio vogliamo far passare solo i pacchitti del protocollo tcp(per un eventuale server web) e i pacchetti ICMP per verificare lo stato degli host con dei semplici ping. Andremo ad usare il comando access-list.

ciscoasa(config)#access-list in_to_internet extended permit tcp any any
ciscoasa(config)#access-list in_to_internet extended permit icmp any any
ciscoasa(config)#access-group in_to_internet in interface outside
ciscoasa(config)#

Con questo abbiamo concluso la configurazione delle reti interne ed esterne. Volendo si possono usare impostazioni differenti per quanto riguarda gli indirizzi e configurare reti più complesse. Si possono mettere anche delle regole più restrittive usando anche il numero di porta come altro parametro per le access list, oppure permettere solo a determinati host di comunicare con l’esterno e negarlo agli altri. Proviamo il collegamento HTTP tra pc1 e server

 

test della rete con firewall

ACL LIST DMZ:

Come ultimo passo, configuriamo le access list.access-list per la DMZ 

ciscoasa(config)#access-list outsite-dmz  permit icmp any host 192.168.10.1 
ciscoasa(config)#access-list outside-dmz permit tcp any host 192.168.10.1 eq80
ciscoasa(config)#access-group outside-dmz in interface outside
ciscoasa(config)#

In questo modo si configurano le access list in modo tale che ogni persona possa raggiungere il server dmz dall’esterno attraverso i protocolli icmp e tcp sulla porta 80, per il solo host 192.168.10.1(il server)

risposta della rete con firewall
Please follow and like us:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Commenti recenti

Working Hours

  • Monday9am - 6pm
  • Tuesday9am - 6pm
  • Wednesday9am - 6pm
  • Thursday9am - 6pm
  • Friday9am - 6pm
  • SaturdayClosed
  • SundayClosed
Latest Posts

Teachers

Facebook
Twitter
LinkedIn
Contatti

Commenti recenti

Wordpress Social Share Plugin powered by Ultimatelysocial
error

Enjoy this blog? Please spread the word :)

%d blogger hanno fatto clic su Mi Piace per questo: