Cisco ASA [Chapter 8] Configure Acess List Cisco ASA

Discussion in 'Lý Thuyết' started by root, Jun 17, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48
    1. Packet Filtering và Packet classification
    - Nhiệm vụ của ACL bao gồm: Packet filtering và Packet Classification
    - Packet filtering:
    • Dùng ACl để lọc gói lệnh permit hay deny có ý nghĩa là cho phép hay từ chối
    - Packet classification:
    • Dùng ACL để phân loại gói thì chữ permit or deny không có ý nghĩa là cho phép hay từ chối mà nó có ý nghĩa là chia làm 2 nhóm
    • Việc từ chối hay cho phép thì do 1 công cụ khác thực hiện
    - Packet Filtering: ACl có thể filter dựa trên thông tin của
    • Layer 2: Header layer 2
    • Layer 3: ICMP, UDP, TCP
    • Layer 3: Source IP, Des IP
    • Layer 4: header Source, Des TCP hoặc UDP port
    - Khi sử dụng layer 2 thì Firewall phải chuyển qua mode Transparent.
    - Ưu điểm của Firewall so với Router
    • Với Router thì nó kiểm tra từng gói
    • Với Firewall nó chỉ cần kiểm tra 1 gói đầu tiền còn các gói sau nó cho qua mà không cần kiểm trả lại vì trên Firewall có cơ chế Inspection. Các gói tin có cùng Session thì nó chỉ kiểm tra gói đầu tiên, còn các gói sau cùng 1 session thì nó cho qua luôn.
    config Access list on Cisco ASA(1)


    - Mặc định trong firewall
    • Interface outside (Security level 0 ) có 1 ACL deny any .
    • Interface inside (security-level 100) thì ACL permit any
    • Traffic được khởi tạo từ inside ra outside thì traffic từ outside sẽ đi ngược vào inside được vì trên Firewall đã có lưu Session của traffic
    - Các loại ACL
    • Standard ACL: Chỉ mô tả được Source IP.
    • Extended ACL: Mô tả được Source IP, Des IP, Source Port, Des Port
    • IPv6 ACL
    • EtherType ACL: Mô tả thông tin trong layer 2
    • Webtype ACL: Dùng riêng cho web VPN (SSL).
    2. Cấu hình ACL on Cisco ASA
    - Cấu hình 1 ACl cho phép outside truy cập HTTP và SMTP còn các traffic khác bị deny.

    config Access list on Cisco ASA(2)

    - Bước 1: thiết lập 1 ACL
    //remark: dùng để mô tả ACL
    Code:
    ASA(config)#access-list OUTSIDE-INSIDE remark this is ther interface ACL to block inbound traffic except HTTP and SMTP
    
    ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http
    ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.2 host 209.165.202.131 eq http
    ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
    ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp
    - trong ACL luôn có 1 câu deny any any, nên câu dưới này không cần thiết. Mục đích của câu dưới để giúp admin biết được các packet bị deny được ghi lại log.
    Code:
    ASA(config)#access-list OUTSIDE-INSIDE extended deny ip any any log
    - Bước 2: Áp ACl lên interface theo chiều nào

    ASA(config)#access-group OUTSIDE-INSIDE in interface outside[/TD]

    3. To the box traffic Filtering
    - Tương tự như access-class bên Router. Nó dùng để filter các traffic liên quan đến việc management như telnet, ssh…
    - Với access-class trên Router
    Code:
    Router(config)#access-list 1 deny 192.168.1.0
    Router(config)#line vty 0 4
    Router(config-line)#access-class 1 in
    - Trên Firewall thì Access-class được gọi là “to the bõ traffic filtering”
    Code:
    ASA(config)#access-list TRAFFIC-MANAGEMENT remark Block all Management traffic on outside interface
    
    ASA(config)#access-list TRAFFIC-MANAGEMENT extended deny ip any any
    ASA(config)#access-group TRAFFIC-MANAGEMENT in interface outside control-plane

    4. Advance ACL - Object group
    - Ý tưởng: nhóm các đối tượng lại và sau đó liên kết các đối tượng lai với nhau.
    - Ưu điểm:
    • Dễ quản lý. Khi bạn muốn thêm hoặc bớt 1 đối tượng
    • Với mô hình phức tạp thì Object-Group hiệu quả hơn rất nhiều so với ACl kiểu extended
    - Object-group chia làm 4 loại Group
    • Protocol: Mô tả TCP, UDP, ICMP, gre…
    • Network: Mô tả IP, host, subnet …
    • Service: Mô tả các server như HTTP, SMTP, FTP…
    • ICMP type: Mô tả cấu trúc của ICMP (type, code…)
    - Tạo 1 nhóm protocol có 2 thành viên là tcp và udp
    Code:
    ASA(config)#object-group protocol TCP-UDP
    ASA(config-protocol)#protocol-object tcp
    ASA(config-protocol)#protocol-object udp
    - Nesting (lồng) 2 object-group nghĩa là đưa nhóm TCP-UDP vào trong nhóm IP-PROTOCOL. Lúc này trong nhóm IP-PROTOCOL sẽ có 3 thành viên: tcp,udp và gre
    Code:
    ASA(config)#object-group protocol IP-PROTOCOL
    ASA(config-protocol)#protocol-object gre
    ASA(config-protocol)#group-object TCP-UDP
    - Tạo nhóm Server
    Code:
    ASA(config)#object-group service ALL-SERVICE
    ASA(config-protocol)#service-object gre
    ASA(config-protocol)#service-object icmp echo
    ASA(config-protocol)#service-object tcp eq http
    ASA(config-protocol)#service-object udp eq domain
    - Tạo nhóm Network
    Code:
    ASA(config)#object-group network INSIDE
    ASA(config-protocol)#network-object host 192.168.10.1
    config Access list on Cisco ASA(3)


    - Ví dụ: viết ACl chỉ cho phép các traffic HTTP và SMTP từ outside vào inside còn các traffic khác sẽ bị deny.
    • Tạo group mô tả protocol tcp
    Code:
    ASA(config)#object-group protocol TCP
    ASA(config-protocol)#protocol-object tcp
    • Tạo group mô tả các host vùng outside
    Code:
    ASA(config)#object-group network OUTSIDE
    ASA(config-protocol)#network-object host 209.165.202.131
    ASA(config-protocol)#network-object host 209.165.202.132
    • Tạo group chứa các host vùng inside
    Code:
    ASA(config)#object-group network INTSIDE
    ASA(config-protocol)#network-object host 209.165.201.131
    ASA(config-protocol)#network-object host 209.165.201.132
    • Tạo group mô tả service http và smtp
    Code:
    ASA(config)#object-group service HTTP-SMTP tcp
    ASA(config-protocol)#port-object eq www
    ASA(config-protocol)#port-object eq smtp
    • Tạo access-list chứa các object-group đã mô tả ở trên theo thứ tự goup: protocol -> network(outside và intside) -> service
    Code:
    ASA(config)#access-list OUTSIDE-INSIDE extended permit object-group TCP object-group OUTSIDE object-group HTTP-SMTP
    • Áp ACl lên interface outside theo chiều in
    Code:
    ASA(config)#access-group OUTSIDE-INSIDE in interface outside
    5. Time Base ACls:
    Chia làm 2 loại:
    - Absolute:
    • ACL có giá trị trong khoảng thời gian nào.
    • Ví dụ: vào 8h sáng hôm nay cho nhân viên bên ngoài ra internet. Mang tính thời vụ
    • ACL có tác dụng trong vòng 1h.
    • start: Nếu không có từ khóa thì ACL có tác dụng ngay bây giờ
    • end: Nếu không có end từ ACL sẽ không có kết thúc
    Code:
    ASA(config)#time-range CONSULTANT_HOURS
    ASA(config-time-range)#absolute start 08:00 01 June 2014 end 09:00 01 June 2014
    • Áp access-list ở trên vào interface
    Code:
    ASA(config)#access-list INSIDE_SERVER extended permit tcp any host 209.165.202.131 eq 80 time-range CONSULANT_HOURS
    ASA(config)#access-group INSIDE_SERVER in interface outside
    - Periodic: ACL có tính chu kì. Ví dụ: định kì mỗi ngày 8h sang permit cho user đi internet
    • ACL có tác dụng từ 8h - 17h hàng ngày, trừ chủ nhật làm 1/2 ngày 8h - 12h
    Code:
    ASA(config)#time-range BUSINESS_HOURS
    ASA(config-time-range)#periodic weekdays 08:00 to 17:00
    ASA(config-time-range)#periodic Saturday 08:00 to 12:00
    • Áp access-list ở trên vào interface
    Code:
    ASA(config)#access-list INSIDE_SERVER extended permit tcp any host 209.165.202.131 eq 80 time-range BUSINESS_HOURS
    ASA(config)#access-group INSIDE_SERVER in interface outside
    - Để sử dụng Time Base ACLs các bạn cần có NTP
    • Ntp master: dùng làm đồng hồ chính
    • Ntp server : các con khác sẽ đồng bộ thời gian từ con NTP master
    6. Downloadable ACLs
    - ACL áp cho từng user riêng biệt
    • Bước 1: Host A truy cập internet đụng Firewall
    • Bước 2: Firewall yêu cầu chứng thực “username/password”
    • Bước 3: Host A trả lời User/pass
    • Bước 4: Firewall forward user/pass của host A cho 1 Radius server(ACS server)
    • Bước 5: chứng thực thành công ACS cho phép user truy cập internet và nó kèm theo 1 ACL cho host A. Ví dụ: Cho phép user ra internet nhưng không cho phép xem hình
    config Access list on Cisco ASA(4)
     
    Last edited: Jul 27, 2016
  2. oracle_82

    oracle_82 New Member

    Joined:
    Jun 17, 2014
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    0
    Cám ơn bạn ! Các bài của bạn đăng rất là bổ ích cho mọi người ! Mình đọc hết tất cả các bài viết của bạn, mình thấy rất dễ hiểu ! Hy vọng bạn có nhiều bài hơn nữa để mọi người cùng học hỏi
     
  3. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48
    hì thanks bạn :). Nếu bạn có thắc mắc hoặc có lab thì cứ đưa lên mình cũng muốn được học hỏi từ mọi người

    Hi mình vọng mọi được làm Lab thật nhiều cùng mọi người
     
  4. backtrack

    backtrack New Member

    Joined:
    Nov 15, 2014
    Messages:
    4
    Likes Received:
    0
    Trophy Points:
    0
    Bác có thể làm một lab hướng dẫn việc publish dns không? cảm ơn bác nhiều lắm
     
  5. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48
    Hi bạn,

    Có thể cho mình xin mô hình của bạn và yêu cầu của bạn được không ? Càng cụ thể và càng nhiều yêu cầu càng tốt :D thanks bạn đã quan tâm !
     
  6. backtrack

    backtrack New Member

    Joined:
    Nov 15, 2014
    Messages:
    4
    Likes Received:
    0
    Trophy Points:
    0
    Cảm ơn Bác đã nhận lời giúp đỡ.
    Đây là mô hình em giả lập trên GNS3 với ASA-5520 version 8.4(2)
    Trong vùng DMZ đã có một web-server với ip 172.16.1.5 và một DNS với ip 172.16.1.3.
    Em muốn publish thằng DNS ra ngoài internet để truy cập bằng tên miền vào web-server. Web-server đã Publish thành công ra địa chỉ đầu ngoài Router là 192.168.0.236.
    Mong bác giúp em vấn đề Publish DNS.
    Cảm ơn bác nhiều lắm ss1.jpg
     
  7. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48
    Hi backtrack,

    1. Cho mình hỏi là bạn muốn Public DNS ra ngoài Internet bằng 1 IP public đúng không ? Nếu bạn đã public thành công web server vầy tại sao bạn không public DNS server theo cách như web server ? vấn đề bạn gặp phải là gì ?
    2. Và Client ngoài internet sẽ trỏ về DNS của bạn đã public để truy cập web-server của bạn ? Muc đích của bạn public DNS là như thế nào, tác dụng gì ?

    Thanks,
     
  8. backtrack

    backtrack New Member

    Joined:
    Nov 15, 2014
    Messages:
    4
    Likes Received:
    0
    Trophy Points:
    0
    Xin chào bác Root!
    Chắc có thể do vấn đề thứ 2 ở client chưa trỏ về DNS.
    Mục đích việc publish DNS nếu doanh nghiệp không thuê DNS ở ngoài mà có sẵn máy chủ trong công ty cài DNS. Khi publish DNS ra ngoài các máy ngoài internet có thể truy cập vào web site của cty theo tên miền.
    Cảm ơn Bác đã giúp đỡ. Có thể ngày mai bài này sẽ thành công.
    Thân ái!
     
  9. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48
    Hi backtrack,


    MÌnh hiểu ý của bạn là ,muốn public webserver ra internet và DNS ra internet. Từ đó user ngoài internet có thể truy cập vào webserrver thông qua tên miền trên DNS server mà bạn public ra. Và sau đây mình có 1 số góp ý như sau
    1. Việc public DNS và webserver yêu cầu bạn phải có IP Public. Nếu bạn muốn tiết kiệm bạn có thể sử dụng NAT port cho các ứng dụng cần NAT. ex: port 80 cho web, 53 cho DNS... để tiết kiệm IP public của bạn.
    2. Khi bạn đã public webserver ra internet thì chắc chắn bạn đã có thể truy cập webserver bằng IP public và việc còn lại là bạn muốn truy cập bằng tên miền tới webserver thông qua DNS server bạn public. Việc này có thể tiết kiệm cho phí mua tên miền cho cty bạn. Nhưng có 1 nhược điểm là user phải trỏ DNS về DNS server của bạn.
    3. Nếu bạn cần hỗ trợ thếm, bạn có thể cho mình info(skype, yahoo...) của bạn để mình liên hệ nhé...:D

    Chúc bạn thành công!
     
  10. backtrack

    backtrack New Member

    Joined:
    Nov 15, 2014
    Messages:
    4
    Likes Received:
    0
    Trophy Points:
    0
    Xin chào Root!
    Xin chân thành cảm ơn sự giúp đỡ nhiệt tình của Bác!
    Nếu có thể Bác có thể giúp em hiểu rõ hơn về Layer 2, 3,4 trong bài này với. Vì sao lại có hai layer cùng tên.
    Vì ASA này giờ em mới được tiếp cận lần đầu.
    Skype của em đây: chimcanhcut_j00001
    Một lần nữa xin cảm ơn sự giúp đỡ nhiệt huyết!
     
  11. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48
    hi backtrack ,
    Vấn đề về layer chắc mình phải quay lại bài mô hình siêu kinh điển OSI và TCP/IP rồi. Có thời gian mình sẽ nói rõ chi tiết về vấn đề layer trong OSI và layer để cấu hình trong Firewall.
    Bạn có thể làm lab với các ACL ở các layer khác nhau để hiểu rõ hơn vấn đề này
     

Share This Page