48일차 PIX/ASA

Security Context란?

ASA/PIX 장비 하나를 가상으로 여러 개의 장비로 사용하는 것

하나의 방화벽을 다수의 서로 다른 고객 혹은 조직이 사용할 경우

방화벽 이중화 중 Active/Active 처럼 Security Context에서만 동작하는 기능을 사용할 경우

Security Context의 특징

각 Context는 독립된 장비처럼 동작하기 때문에 독립적인 보안 정책, 인터페이스, 라우팅 테이블, 관리자 등을 갖는다.

동적 라우팅, 멀티캐스팅, VPN 등은 지원되지 않는다.

여러개의 Context가 인터페이스 하나를 공유할 경우 각 Context 별로 개별적인 MAC 주소를 할당해야 한다. 자동 또는 수동 할당 가능.

#ESW1

vlan 10

 name inside

vlan 20

 name DMZ

int fa1/1

 sw mo ac

 sw acc vlan 10

int fa1/2

 sw mo acc

 sw acc vlan 20

int fa1/9

 sw mo tr

mode multiple로 모드 전환한다.

enter 두번 누르면 reload된다.

서브인터페이스 만들어주는 상황.

admin-context를 사용하면 서로다른 context를 오가면서 관리를 할 수 있다.

C1-ASA를 context를 만들어주고

인터페이스를 할당해준다.

C1-ASA.cfg라는 이름으로 config 를 지정해준다.

C2-ASA도 마찬가지로 적용

show context로 아까 적용 시킨 것들이 나온다.

총 세가지 환경에서 작업이 가능하게 된다.

1. 시스템 환경(config)

2. 일반 context 환경

3. admin context 환경

changeto 로 ASA 변경

config 총정리

mode multiple

int g0

no sh

int g0.10

vlan 10

int g0.20

vlan 20

ex

int g1

no sh

context C1-ASA

allocate-interface g0.10

allocate-interface g1

config-url disk0:/C1-ASA.cfg

context C2-ASA

allocate-interface g0.20

allocate-interface g1

config-url disk0:/C2-ASA.cfg

changeto context C1-ASA

 int g1

  nameif outside

  ip add 40.1.1.1 255.255.255.0

  mac-address 0001.0001.0001

 int g0.10

  nameif inside

  ip add 10.10.10.254 255.255.255.0

changeto context C2-ASA

 int g1

  nameif outside

  ip add 40.1.1.2 255.255.255.0

  mac-address 0002.0002.0002

 int g0.20

  nameif dmz

  securtiy-level 50

  ip add 2.2.20.254 255.255.255.0

 

 route outside 0 0 40.1.1.254

 route dmz 2.2.2.0 255.255.255.0 2.2.20.1

changeto context C1-ASA

 route outside 0 0 40.1.1.254

 route inside 10.1.1.0 255.255.255.0 10.10.10.1

changeto contxt C2-ASA

 access-list OUT->IN permit icmp any any echo-reply

 access-group OUT->IN in inter outside

인접 장비들 ping 상태 확인

각각 라우팅을 해주면

R2 ~ R3 끼리 통신이 잘된다.

C2에서 해준 ehco-reply 관련 ACL이 개별적용이 아니라 C1에도 적용이 된다면, R1, R3를 서로 라우팅 해줬을 때 통신이 되는게 맞을 것이다.

하지만 그게 아니라면 안되는게 정상이겠다.

#### MPF를 이용한 NAT 설정

R3에서 10.10.10.0 대 라우팅테이블 지우고

ASA 장비에서 config 추가

changeto context C1-ASA

 object network inside-net

  subnet 10.10.10.0 255.255.255.0

  nat (inside,outside) dynamic interface

  exit

 policy-map global_policy

  class inspection_default

  inspect icmp

  exit

 exit

기본적인 inspection에 추가만 해준것 뿐이니 별다른 service-policy 적용 없이도 되겠다.

ASA에서 텔넷 설정

telnet 10.10.10.0 255.255.255.0 inside

password cisco1234

해주고 R1에서 접속 후 changeto context C2-ASA

안되는 것을 확인

Admin Context를 설정해야한다.

mac-address auto 해주면 알아서 맥주소를 할당한다.

context admin

 allocate-interface g1

 allocate-interface g0.10

 exit

changeto context admin

 int g1

  nameif outside

  ip add 40.1.1.10 255.255.255.0

  exit

 int g0.10

  nameif inside

  ip add 10.10.10.10 255.255.255.0

  exit

인터페이스 할당해주고 아이피 할당해주고 핑테스트 한 모습이다.

admin은 관리자니까 telnet 아닌 ssh로 설정해줬다.

R1에서 접속해서 context 변경을 해보니 자유자재로 된다.

security_context_config.txt

[Security Context Lab]

Security_Context_NAT_Lab.txt