Eine Cisco ASA 5505 kann in zwei Betriebsarten konfiguriert werden, nämlich sls transparente Firewall oder als Routed Firewall. Normalerweise wird eine ASA meist als eine Routed Firewall eingerichtet. Der Grund liegt darin, dass eine transparente Firewall nicht so ohne weiteres bei der Fehlerdiagnose auftaucht. Sie ist transparent. Damit taucht sie im traceroute nicht als Hop auf. Ein Admin, der einen Fehler sucht, kann über diese Stolperfalle stürzen, sollte eine transparante Firewall Pakete filtern, die gebraucht werden. Es kann nicht einfach sein diese Firewall zu entdecken, sollte sie nicht im Netzwerkplan auftauchen. Daher werden Firewalls gerne als Routed Firewalls konfiguriert. Der Admin schaut von Hop zu Hop, ob alles okay ist und schlußendlich hangelt er sich an das Problem heran.
Hier wird eine ASA als transparante Firewall konfiguriert. Die Anwendung kann im Heimnetzwerk ganz nützlich sein, bzw. die Konfiguration kann verwendet werden, um ganze Netzbereiche aus dem Traffic auszufiltern. Es wird nicht detailliert auf die Inhalte der Access-Liste eingegangen. Die Konfiguration geht nur soweit, dass die transparante Firewall soweit betriebsbereit ist, allerdings wenig bis nichts filtert.
Das Netzwerk sieht so aus, zumindest der kleine Teil.
192.168.200.1 (Router zum DSL)
|
|
ASA <---- 192.168.200.2 (IP zum Konfigurieren der ASA)
|
|
192.168.200.3 (PC/LAN)
Warum eine transparante Firewall im Netzwerk, die IP Bereiche filtert? Das Problem unliebsamer Besucher, Malware und andere Dinge, nimmt mehr und mehr zu. Es kann sinnvoll sein, als Kleinunternehmen oder Privatmann bestimmte Netzwerke komplett aus seinem Interneterlebnis auszublenden.
Es gibt Netzwerke, woher nichts Gutes kommt. Den ganzen Block, den man ohnehin nicht gerne ansurft, hält man komplett von sich weg. Verbindungen jeder Art werden komplett von der ASA weggeworfen und möglicherweise wird der Aspekt geloggt, wenn man als Admin das wünscht. Damit kann vielleicht ein Exploit erfolgreich wirken, der Loader bekommt aber unter Umständen keinen Connect. Natürlich kann es gut sein, das es dann über einen Proxy oder weiß der Himmel läuft, klar... Pech. Das gefilterte Bereich sollte auch recht riesig sein und ein oder mehrere Länder betreffen. Im Grunde muss jeder wissen, was er gerne im Netz so macht, jedem Kleinunternehmen könnte man ans Herz legen über bestimmte Filter nachzudenken, die Teile des Netzes komplett wegschmeist.
Anhand des Bildes hat man nach wie vor ein flaches Netzwerk. Maschinen, die direkt am DSL Router hängen, der vielleicht ncoh einen WLAN AP eingebaut hat, gehen ungefiltert ins Internet. Die andere Seite der ASA nicht. Auf diese Weise behält man ein wenig seine Flexibilität bei, per WLAN ungefiltert ins Internet, per Kabel mit einem gewissen Filter. Was genau gefiltert werden sollte, werde ich an dieser Stelle nicht erwähnen. Jeder möge sich da seine eigene Blockliste zusammenstellen.
Gut, wie wird so eine ASA eingerichtet?
asa> enable
asa# conf t
asa(config)# firewall mode transparent
asa(config)# no names
asa(config)# interface Vlan1
asa(config-if)# nameif inside
asa(config-if)# security-level 100
asa(config-if)# exit
asa(config)# interface Vlan2
asa(config-if)# nameif outside
asa(config-if)# security-level 0
asa(config-if)# exit
asa(config)# interface Ethernet0/0
asa(config-if)# switchport access vlan 2
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/1
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/2
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/3
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/4
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/5
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/6
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# interface Ethernet0/7
asa(config-if)# no sh
asa(config-if)# exit
asa(config)# access-list OUTSIDE-IN permit ip any any
asa(config)# access-group OUTSIDE-IN in int outside
asa(config)# ip address 192.168.200.2 255.255.255.0
asa(config)# monitor-interface outside
asa(config)# monitor-interface inside
asa(config)# end
asa# copy run start