PRAKTYKA
Cisco ASA 5505. Podstawy konfiguracji
– część II. Konfiguracja translacji adresów w ścianach ogniowych Cisco ASA W poprzedniej części artykułu (Hakin9 12/2010) poznaliśmy specyfikę pracy ze sprzętem Cisco ASA. Poznaliśmy zasady licencjonowania, tryby konfiguracji administracyjnej i metody zarządzania plikami konfiguracyjnymi. Tym razem będziemy mogli już poznać bardziej przydatne informacje związane z konfiguracją ściany ogniowej. Zajmiemy się bardzo ważną z punktu widzenia bezpieczeństwa - translacją adresów NAT. Dowiesz się: • o wprowadzeniu do konfiguracji ściany ogniowej Cisco ASA • o umiejętności korzystania z poleceń IOS • o podstawach zabezpieczenia sieci lokalnych
Powinieneś wiedzieć: • podstawowa wiedza na temat urządzeń Cisco • posiadać umiejętność pracy z emulatorem terminala
J
ednak szczegóły przedstawię w dalszej części artykułu. W tej chwili zanim jeszcze zaczniemy poznawać NAT, chciałbym wymienić sześć podstawowych poleceń używanych w Cisco ASA. Polecenia te to:
Grzegorz Gałęzowski Kontakt z autorem: gsgalezowski@gmail.com
• nameif, • interface i ip address, które są niezbędne, by ASA zaczęło pracować, • nat, global i route służą do zapewnienia dostępu z zaufanej sieci (interfejsu o wyższym poziomie bezpieczeństwa) do sieci o mniejszym poziomie zaufania (interfejsu o niższym poziomie bezpieczeństwa).
• id_sprzętowy - określa interfejs i jego fizyczną lokalizację w obudowie ściany ogniowej, • nazwa_interfejsu - przydziela nazwę wskazanemu interfejsowi; nazwę tę nadaje użytkownik, • poziom_bezpieczeństwa - wskazuje poziom bezpieczeństwa interfejsu; dostępne poziomy bezpieczeństwa z zakresu od 1 do 99. Polecenie interface
Polecenie nameif
• interface id_sprzętowy prędkość_pracy
• nameif id_sprzętowy nazwa_interfejsu poziom_bezpieczeństwa
Polecenie interface ustala rodzaj sprzętu, ustala prędkość jego pracy i uaktywnia interfejs. Cisco ASA automatycznie wykrywa, nowe karty interfejsów.
Polecenie nameif przydziela nazwę każdemu interfejsowi i kojarzy z nim określony poziom bezpieczeństwa (z wyjątkiem interfejsu wewnętrznego i zewnętrznego, które są już nazwane domyślnie). W domyślnej konfiguracji, Ethernet 0 jest nazwany outside (zewnętrzny) i ma przypisany poziom bezpieczeństwa 0, a Ethernet
38
1 nazywany jest inside (wewnętrzny) i ma przypisany poziom bezpieczeństwa 100.
by HAKIN9
• id_sprzętowy - określa interfejs i jego fizyczną lokalizację w obudowie ściany ogniowej, • prędkość_pracy - ustala prędkość połączenia.
4/2011 (2)