OBRONA
Konfiguracja sieci VLAN i Subinterfejsy w Cisco ASA
– część IV
Wirtualna sieć LAN (VLAN) jest symulacją standardowej sieci LAN, pozwalająca na przesyłanie danych bez tradycyjnych ograniczeń. Stanowi zbiór urządzeń LAN zaliczonych do jednej grupy administracyjnej na podstawie parametrów konfiguracyjnych i polityki administracyjnej, a nie fizycznej lokalizacji. Dowiesz się: • o wprowadzeniu do konfiguracji ściany ogniowej Cisco ASA • o umiejętności korzystania z poleceń IOS • o podstawach zabezpieczenia sieci lokalnych
U Grzegorz Gałęzowski Kontakt z autorem: gsgalezowski@gmail.com
Powinieneś wiedzieć: • podstawowa wiedza na temat urządzeń Cisco • posiadać umiejętność pracy z emulatorem terminala
rządzenia komunikują się ze sobą tak, jakby były dołączone do jednego przewodu lub koncentratora, choć mogą się znajdować w różnych segmentach sieci LAN, nawet gdy fizycznie są umieszczone przy tym samym przełączniku. Ponieważ podstawą VLAN są połączenia logiczne, a nie fizyczne, sieci te są bardzo elastyczne. W przypadku VLAN fizyczna lokalizacja nie ma znaczenia, dlatego tez w latach 90. sieci tego typu budziły duże zainteresowanie ze względu na możliwość używania tych sieci do pracy grupowej osób znajdujących się w oddalonych miejscach. Administrator takiej sieci może przypisać użytkowników do sieci niezależnie od tej lokalizacji na podstawie aplikacji, protokołów, wymagań dotyczących wydajności lub bezpieczeństwa, charakterystyki natężenia ruchu itp. Tyle w ramach wstępu odnośnie sieci VLAN. W tej części cyklu poświęconego Cisco ASA skupię się na warstwie 2 (łączności) ściany ogniowej Cisco ASA. Dla przypomnienia, każdy interfejs (fizyczny lub logiczny) w urządzeniu Cisco ASA jest używany do tworzenia stref bezpieczeństwa, które są po prostu segmentami sieci (warstwa 3 podsieci) komputerów PC, serwerów itp. Każda strefa zabezpieczeń jest chroniona przez zaporę z innych stref bezpieczeństwa.
by HAKIN9
W celu stworzenia bezpiecznej sieci, która jest zgodna z zasadami warstwowego zabezpieczenia (co jest dobrą praktyką), musimy podzielić segmenty sieci na różne strefy bezpieczeństwa (podsieci), które są kontrolowane i chronione przez zaporę. Aby utworzyć takie strefy zabezpieczeń, można używać zarówno fizycznego lub logicznego interfejsu w urządzeniu. Jednakże, w celu stworzenia warstwy 3 podsieci, należy mieć również różne warstwy 2 dla każdej podsieci VLAN. Cisco ASA obsługuje wiele VLANów w standardzie 802.1q funkcjonujących na interfejsie fizycznym. Oznacza to, tyle że administrator może konfigurować wiele logicznych interfejsów (subinterfejsy) na pojedynczym interfejsie fizycznym i może przydzielać każdemu logiczny interfejs do konkretnej sieci VLAN. Na przykład, urządzenie z 4 fizycznymi interfejsami nie jest ograniczone do posiadania tylko 4 stref bezpieczeństwa. Możemy stworzyć na przykład 3 logiczne subinterfejsy na każdy fizyczny interfejs, który da nam 12 (4x3) różnych stref bezpieczeństwa. W zależności od modelu Cisco ASA, można skonfigurować maksymalnie do 250 sieci VLAN na jednym urządzeniu. Po skonfigurowaniu subinterfejsów (VLAN) na fizycznym interfejsie, musimy jeszcze ten interfejs podłączyć pod port trunk na 2 war-
7/2011 (5)
Konfiguracja sieci VLAN i Subinterfejsy w Cisco ASA
stwie przełącznika. Ponadto dokonać odpowiedniej konfiguracji systemu. Do konfiguracji subinterfejsu logicznego musimy w linii poleceń trybu konfiguracji globalnej użyć argumentu subinterface. Przejdziemy w ten sposób do trybu w którym będziemy mogli konfigurować subinterfejs. Musimy także skonfigurować nazwę subinterface (nameif), poziom bezpieczeństwa oraz zdefiniować adres IP i maskę. Polecenia odpowiedzialne za konfigurację sieci logicznej VLAN znajdują się poniżej:
G0/1 = Fizyczny interface G0/1.1 = Logiczny interface (subinterfejs) przypisany do VLAN 10 G0/1.2 = Logiczny interface (subinterfejs) przypisany do VLAN 20
ciscoasa(config)# interface “fizyczny_interface.
ciscoasa(config)# interface gigabitethernet 0/1
subinterfaces” – użyjemy najpierw argumentu
subinterface
ciscoasa(config-subif)# - przechodzimy do trybu konfiguracji subinterface
ciscoasa(config-subif)# vlan “id” – przypisujemy VLAN do
Dwa logiczne interfejsy (G0/1.1 i G0/1.2) zachowują się jak fizyczny interfejs, a są to dwie osobne “koryta” zapory. Zobaczmy teraz przykładową konfigurację poniżej: ciscoasa(config-if)# no nameif
ciscoasa(config-if)# no security-level ciscoasa(config-if)# no ip address ciscoasa(config-if)# exit
subinterface
ciscoasa(config)# interface gigabitethernet 0/1.1
nazwę do subinterface
ciscoasa(config-subif)# nameif inside1
ciscoasa(config-subif)# nameif “subif_nazwa” – przypisujemy ciscoasa(config-subif)# ip address “IP” “netmask” – przypisujemy adres IP i maskę
Poniżej przykładowy scenariusz wraz ze schematem sieci (Rysunek 1). W powyższym przykładzie, zakładamy, że chcemy segment naszej sieci wewnętrznej umieścić w dwóch strefach bezpieczeństwa (Inside1 i Inside2). Załóżmy że strefa Inside1 będzie gospodarzem wszystkich komputerów użytkownika, a strefa Inside2 będzie gościć wszystkie wewnętrzne serwery korporacyjne (serwer pocztowy, serwer domeny etc). Do budowy tego typu topologii, musimy stworzyć dwie sieci VLAN na przełączniku (10 i 20), po jednym dla każdej podsieci. Zamiast używać dwóch fizycznych interfejsów ze ściany ogniowej (po jednym dla każdej strefy), przekształcimy jeden fizyczny interfejs na dwa logiczne interfejsy, tak jak to pokazano poniżej:
www.securitymag.pl
ciscoasa(config-subif)# vlan 10
ciscoasa(config-subif)# security-level 80
ciscoasa(config-subif)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config)# interface gigabitethernet 0/1.2 ciscoasa(config-subif)# vlan 20
ciscoasa(config-subif)# nameif inside2
ciscoasa(confif-subif)# security-level 90
ciscoasa(config-subif)# ip address 192.168.2.1 255.255.255.0
To tyle w tej części. W następnym artykule przedstawię już znacznie bardziej rozbudowany temat jakim jest IPSec VPN.
by HAKIN9