46일차 ASA 인터페이스 ACL NAT

라우터는 sh ip int bri 지만

ASA는 sh int ip bri 이다.

show interface ip brief

nameif 로 인터페이스 이름을 설정해줘야한다.

밑에 Security level default 100으로 설정 됐다.

이름을 설정하면 기본적으로 100으로 설정된다.

이 Security level 은 높은쪽에서 낮은쪽으로 가는 것은 기본적으로 허용이다.

ip 추가해주고 no shut

만약 인터페이스 설정해줬는데도 ????? 뜨면서 통신이 안 될 경우 

wireshark

각 구간

1. arp request 지나는지 확인

2. arp reply가 지나는지 확인

3. icmp echo request가 지나는지 확인

3. icmp echo reply가 지나는지 확인

가상환경에서 ASA를 사용할 때는 인터페이스 하나 설정 할때마다 연결 확인을 꼭 해라.

int g 0

nameif inside

ip add 10.1.1.254 255.255.255.0

no sh

exit

int g 1

nameif outside

ip add 40.1.1.1 255.255.255.0

no sh

exit

int g 2

nameif dmz

security-level 50

ip add 20.1.1.254 255.255.255.0

no sh

exit

show int ip 

show int ip bri

show nameif 한 상황

show ro 로 라우팅테이블 확인 가능

현재 라우터들의 루프백은 테이블에 없는데 수동으로 올려준다.

라우터 라우팅과는 다르게 인터페이스 이름을 지정했던 이름을 넣어줘야한다.

R3에서 내부망 라우팅 해주면 XP에서 인터넷 통신이 된다.

되는 이유는 Stateful Inspection 때문이다.

딱히 홍준표를 홍보하려고 했던게 아닌데 다음 메인에 떡하니 있네 ;

R3에서 텔넷 설정 열어주고

R1에서 telent 접속하면 접속이 된다.

그 상태에서 ASA 장비에서 show conn all 하면 아래와 같이 연결 상태가 보인다.

ASA에서 console로 로그를 볼수있다

위는 R1에서 R3로 telnet 접속한 로그이다 

반대로 R3에서 R1로 telnet 했을 때 로그

무슨 규칙때문에 DROP 됐는지 안나온 다는 것은 default drop 됐다는 것이다.

핑 역시 echo reply가 차단된다.

security level을 생각해보면 R2에선 R1으로 telnet이 안되고 R3로는 된다는 것을 알 수 있다.

ASA는 총 네가지 방법으로 관리가 가능하다.

1. telnet

2. ssh

3. 그래픽 환경

4. 장비 직접 연결

ASA에서 서비스가 돌아가고 있지만 안들어가진다.

허용을 해줘야 들어가지기 때문이다.

이렇게 ip 대역대와 인터페이스를 지정해준다.

그 밑에는 패스워드 설정이다.

허용된 IP 대역대인 XP에서 telnet 하니까 되는 것을 확인.

telnet은 평문으로 전송되고 암호화 통신이 안되기 때문에, security level이 가장 낮은 곳

은 자동으로 거부된다.

그렇기 때문에 기존 0 이었던 security level을 51로 수정해서 가장 낮지만 않은 수치로 바꿔주면 되는 것이 확인 가능하다.

만약에 security level이 50으로 동일하다면?

낮은 두개가 둘다 안되고, 동일한 라우터끼리 서로 통신도 안된다.

SSH 서비스 활성화

aaa 는 인증서비스 , LOCAL 계정 사용

rsa 암호화 키 사용 지정

telnet 처럼 허용 대역 지정

R1은 물론  R3도 되는 것이 확인이 가능하다.

SSH 는 security level이 낮고 높고를 떠나서 허용이 되는 것이 확인 가능.

그래픽 환경

tftpd32.335.zip

자바 설치파일도 역시 설치해준다.

asa 파일 압축 풀었을 때 함께 있던 asdm-647.bin 파일을 XP C드라이브 아래로 넣어주고

tftpd 실행한다음 현재 디렉토리를 C드라이브로 지정해준다.

ASA 플래시메모리로 복사

를 할거다

copy 명령어로 

ip 써주고 파일명 써주면

느낌표 마구 뜨면서 복사가 진행된다.

show flash: 로 파일이 잘 복사가 됐는지 확인한다.

이미지 지정해주고 아이디 만들어주고 privilege 15로 권한 지정해주고 

http 허용 해주기까지

https 로 ASA 접근하면 요래 뜨면 된다.

INstall ASDM Launcher and Run ASDM 을 누르면 로그인하라고 뜬다.

아까 만들어준 계정 비밀번호 입력하면

install 파일이 다운로드 된다. 

설치해준다.

이런창이 뜬다

OK누르고 인증서 확인 누르면은

퍼센테이지가 진행이 된다.

Enable Logging 누르면

이와 같이 로그가 뜬다.

ACL

ASA에서 Standard는 ospf 라우팅 프로토콜, 재분배 목적으로 사용이 된다.

일반적인 트래픽 제한할 때는 extended를 사용한다.

access-list OUT->IN permit icmp host 40.1.1.4 host 10.1.1.100

OUT->In은 list 이름

extended 지정안해도 기본적으로 extended로 적용된다

show access-list 로 확인

hitcnt 은 필터링 된 패킷 개수

인터페이스 적용

스크린샷마다 오타가 많네요 ㅎ...ㅎ. 죄송합니다

R3에서 10.1.1.100으로 ping 확인.

이번에 R3에서 R1로 텔넷 하는것도 넣어주겠습니다.

access-list OUT->IN permit tcp host 40.1.1.4 host 10.1.1.100 eq telnet

위는 10.1.1.1로 되있는데 100이다.. 오타에요.

우선순위는 위에서 부터 차례대로 높다.

해보면 잘되는 것을 알 수있겠다

[ ASA ACL Lab#1 ]

내부망에 있는 XP나 R1이 DMZ 망의 Win2K, Linux와 Ping 테스트를 할 수 있게 하라.

[ Test ]

R1#ping 20.20.30.10

!!!!!

#ASA

route dmz 20.20.30.0 255.255.255.0 20.1.1.2

access-list  IN->DMZ icmp host 20.20.30.10 host 10.1.1.100

acess-group DMZ->IN interface dmz

ACL이 security level이 높다. 

[ ASA ACL Lab#2 ]

내부망에 있는 XP나 R1에서는 외부망쪽(인터넷 포함)으로 ping Test를 할 수 있고

외부에서는 XP나 R1으로 Ping test가 안되게 하라

[Test]

R1#ping 40.1.1.4

!!!!!

R1#ping 8.8.8.8

!!!!!

R3#ping 10.1.1.100

.....

[풀이]

ASA장비에서

access-list OUT->In permit icmp any 10.1.1.0 255.255.255.0 echo-reply

access-group OUT->IN in interface outside

##

ACL 우선순위

R3에서 오는 icmp echo-reply는 deny 시키고 싶은 상황

평소 처럼 해주면 맨뒤로 밀려나고 더 넓은 허용 범위가 우선순위가 상위기 때문에 적용이 안된다.

따라서 line을 올려야한다

access-list OUT->IN line 1 deny icmp host 40.1.1.4 10.1.1.10 255.255.255.0 echo-reply

이런식으로 deny 앞에 line 번호를 붙여준다.

40.1.1.4 , 8.8.8.8  둘다 같은 외부지만 40.1.1.4는 안되는 것을 확인

[ACL 삭제하기]

clear config access-list acl이름

적용된 access-group 까지 다 제거 됨

[ 시간대 별 제어하기]

ASA는 인터넷과 동기화만 되어있으면 자동으로 시간을 맞춰준다.

기준이 한국이 아니기 때문에 한국시간으로 맞춰준다.

absolute는 single event로 한번 적용

periodic은 반복적용

평일마다 10:50 ~ 11:00 반복 적용

access-list 적용 시켜준다.

access-list OUT->In permit icmp any 10.1.1.0 255.255.255.0 echo-reply time-range test

access-group OUT->IN in interface outside

시간 됐을 때 안됐을 때 차이다.

10:50 이라고 설정해놨지만 적용되는데 다소 걸리는 것 같다.

적용 됐을때 안됐을때 show access-list 비교

NAT/PAT

Dynamic NAT/PAT 는 내부사용자들을 위한 변환 기술 / source nat 라고도함

Static NAT/PAT는 외부사용자들을 위한 변환 기술 / destination nat라고도함

Dynamic PAT

ASA e0쪽에 걸어보는 실습을 하겠다.

먼저 R3에서 내부망을 모르게 static route 된걸 다 지운다.

라우터와 다르게 object 로 건다.

subnet 지정해주고

nat (inside,outside)

이건 inside 인터페이스에서 ip nat inside

      outside 인터페이스에서 ip nat outside 해준것 과 같은 것이다.

show nat로 설정한 것 볼 수 있고

R1에서 R3로 telnet 했을 때 잘 된다.

show xlate로 변환 과정을 확인할 수 있다.

icmp 허용 해주려면

access-list permit icmp host 40.1.1.4 10.1.1.0 255.255.255.0 echo-reply 로 해줘야 한다.

ASA이전에 픽스 장비는 acl을 적용한 후에 nat 변환을 하지만

ASA는 nat 변환 후에 acl을 적용한다.

[ ASA NAT Lab#1 ]

DMZ망의 DNS 서버만 이용하는 XP에서 외부의 웹 서버와 DMZ망의 웹 서버에 URL 주소(FQDN)로 접근할 수 있게 설정하라.

[Test]

XP의 웹 브라우저 주소 창에 www.daum.net, www.webhack.com등의 주소 입력 후 접속 확인

NAT 설정

object network dmz-net

subnet 20.20.30.0 255.255.255.0

nat (dmz,outside) dynamic interface

Dynamic NAT

R1과 XP에서 각각 R3로 telnet 접속했더니

110, 105를 가져갔다.

Static NAT

clear xlate 해도

show xlate로 보면 고정으로 박혀있다.

R1을 host로 잡아서 변환시키기 때문에 xp는 안된다.

Static PAT

40.1.1.200으로 들어올 때 ssh는 R1 telnet은 R2로 보내라

object network R1

host 10.1.1.100

nat (inside,outside) static 40.1.1.200 service tcp ssh ssh

40.1.1.200 ip로 파란색 ssh 로 들어오면 10.1.1.100 ip의 빨간색 ssh로 연결해라

object network R2

host 20.1.1.2

nat (dmz,outside) static 40.1.1.200 service tcp telnet telnet

access-list OUT->IN permit tcp host 40.1.1.4 host 10.1.1.100 eq 22

access-list OUT->IN permit tcp host 40.1.1.4 host 20.1.1.2 eq 23

access-group OUT->IN in interface outside

확인 결과 의도된 대로 잘 보낸다.

[ ASA NAT Lab#2]

- BackTrack에서 외부에 공개되어 있는 DMZ 망의 웹 서비스(Camel)와 DNS 서비스를 이용할 수 있게 하라.

(공인 IP주소는 40.1.1.100)

- XP(DMZ망의 DNS 서버만 이용)도 내/외부 웹 서비스를 이용할 수 있어야 한다.

[Test]

1. BackTrack을 ESW3에 연결 후 ASA(40.1.1.1)와 외부(8.8.8.8)로 Ping Test.

2. BackTrack의 웹 브라우저 주소 창에 www.camel.com, www.daum.net

XP에서 DMZ망으로 가는 것은 security level 과 stateful insfection 때문에 허용이 되지만

dmz망에서 외부 dns로 나가는 것은 NAT를 해준다.

또한 백트랙에서 dmz망에 있는 웹서버로 접근할 때 공인아이피로 접속해야 하기 때문에

dns 파일존을 공인아이피로 잡아준다.

그리고 외부에서 내부로 들어올때 NAT와 ACL을 설정해준다.

object network DNSServer

host 20.20.30.20

nat (dmz,outside) static 40.1.1.100 service udp domain domain

object network CamelServer

host 20.20.30.30

nat (dmz,outside) static 40.1.1.100 service tcp www www

access-list OUT->IN permit icmp any any echo-reply

access-list OUT->IN permit udp any host 20.20.30.20 eq domain

access-list OUT->IN permit tcp any host 20.20.30.30 eq www

access-group OUT->IN in interface outside

object network inside-net

subnet 10.1.1.0 255.255.255.0

nat (inside,outside) dynamic interface

object network dmz-linux

host 20.20.30.20

nat (dmz,outside) dynamic interface

[ Security Context Lab ]

ASA장비에서

context C1-ASA 도 NAT

context C2-ASA 도 NAT를 걸어준다.

먼저 Win2k 서버에서 자체적으로 google이 들어가지는지부터 확인하고 XP가 DNS 질의를 하게끔 했다.

changeto Context C1-ASA

route inside 10.10.30.0 255.255.255.0 10.10.10.1

object network inside-xp

host 10.10.30.1

nat (inside,outside) dynamic interface

access-list OUT->IN permit icmp any any echo-reply

access-group OUT->IN in interface outside

changeto Context C2-ASA

route dmz 2.2.30.0 255.255.255.0 2.2.20.1

object network DNSServer

host 2.2.30.3

nat (dmz,outside) static 40.1.1.200 service udp domain domain

object network webhack

host 2.2.30.2

nat (dmz,outside) static 40.1.1.200 service tcp www www

object network dmz-linux

host 2.2.30.3

nat (dmz,outside) dynamic interface

access-list OUT->IN permit icmp any any echo-reply

access-list OUT->IN permit udp any host 2.2.30.3 eq domain

access-list OUT->IN permit tcp any host 2.2.30.2 eq www

access-group OUT->IN in interface outside