48일차 PIX/ASA
Security Context란?
ASA/PIX 장비 하나를 가상으로 여러 개의 장비로 사용하는 것
하나의 방화벽을 다수의 서로 다른 고객 혹은 조직이 사용할 경우
방화벽 이중화 중 Active/Active 처럼 Security Context에서만 동작하는 기능을 사용할 경우
Security Context의 특징
각 Context는 독립된 장비처럼 동작하기 때문에 독립적인 보안 정책, 인터페이스, 라우팅 테이블, 관리자 등을 갖는다.
동적 라우팅, 멀티캐스팅, VPN 등은 지원되지 않는다.
여러개의 Context가 인터페이스 하나를 공유할 경우 각 Context 별로 개별적인 MAC 주소를 할당해야 한다. 자동 또는 수동 할당 가능.
#ESW1
vlan 10
name inside
vlan 20
name DMZ
int fa1/1
sw mo ac
sw acc vlan 10
int fa1/2
sw mo acc
sw acc vlan 20
int fa1/9
sw mo tr
mode multiple로 모드 전환한다.
enter 두번 누르면 reload된다.
서브인터페이스 만들어주는 상황.
admin-context를 사용하면 서로다른 context를 오가면서 관리를 할 수 있다.
C1-ASA를 context를 만들어주고
인터페이스를 할당해준다.
C1-ASA.cfg라는 이름으로 config 를 지정해준다.
C2-ASA도 마찬가지로 적용
show context로 아까 적용 시킨 것들이 나온다.
총 세가지 환경에서 작업이 가능하게 된다.
1. 시스템 환경(config)
2. 일반 context 환경
3. admin context 환경
changeto 로 ASA 변경
config 총정리
mode multiple
int g0
no sh
int g0.10
vlan 10
int g0.20
vlan 20
ex
int g1
no sh
context C1-ASA
allocate-interface g0.10
allocate-interface g1
config-url disk0:/C1-ASA.cfg
context C2-ASA
allocate-interface g0.20
allocate-interface g1
config-url disk0:/C2-ASA.cfg
changeto context C1-ASA
int g1
nameif outside
ip add 40.1.1.1 255.255.255.0
mac-address 0001.0001.0001
int g0.10
nameif inside
ip add 10.10.10.254 255.255.255.0
changeto context C2-ASA
int g1
nameif outside
ip add 40.1.1.2 255.255.255.0
mac-address 0002.0002.0002
int g0.20
nameif dmz
securtiy-level 50
ip add 2.2.20.254 255.255.255.0
route outside 0 0 40.1.1.254
route dmz 2.2.2.0 255.255.255.0 2.2.20.1
changeto context C1-ASA
route outside 0 0 40.1.1.254
route inside 10.1.1.0 255.255.255.0 10.10.10.1
changeto contxt C2-ASA
access-list OUT->IN permit icmp any any echo-reply
access-group OUT->IN in inter outside
인접 장비들 ping 상태 확인
각각 라우팅을 해주면
R2 ~ R3 끼리 통신이 잘된다.
C2에서 해준 ehco-reply 관련 ACL이 개별적용이 아니라 C1에도 적용이 된다면, R1, R3를 서로 라우팅 해줬을 때 통신이 되는게 맞을 것이다.
하지만 그게 아니라면 안되는게 정상이겠다.
#### MPF를 이용한 NAT 설정
R3에서 10.10.10.0 대 라우팅테이블 지우고
ASA 장비에서 config 추가
changeto context C1-ASA
object network inside-net
subnet 10.10.10.0 255.255.255.0
nat (inside,outside) dynamic interface
exit
policy-map global_policy
class inspection_default
inspect icmp
exit
exit
기본적인 inspection에 추가만 해준것 뿐이니 별다른 service-policy 적용 없이도 되겠다.
ASA에서 텔넷 설정
telnet 10.10.10.0 255.255.255.0 inside
password cisco1234
해주고 R1에서 접속 후 changeto context C2-ASA
안되는 것을 확인
Admin Context를 설정해야한다.
mac-address auto 해주면 알아서 맥주소를 할당한다.
context admin
allocate-interface g1
allocate-interface g0.10
exit
changeto context admin
int g1
nameif outside
ip add 40.1.1.10 255.255.255.0
exit
int g0.10
nameif inside
ip add 10.10.10.10 255.255.255.0
exit
인터페이스 할당해주고 아이피 할당해주고 핑테스트 한 모습이다.
admin은 관리자니까 telnet 아닌 ssh로 설정해줬다.
R1에서 접속해서 context 변경을 해보니 자유자재로 된다.
security_context_config.txt[Security Context Lab]
'정보보안' 카테고리의 다른 글
| 랜섬웨어 WannerCry 대처 방법 (0) | 2017.05.15 |
|---|---|
| 49일차 ASA 이중화 failover (0) | 2017.04.21 |
| 47일차 ASA TCP Syn flood , 특정 사이트 차단 (0) | 2017.04.19 |
| 46일차 ASA 인터페이스 ACL NAT (0) | 2017.04.17 |
| 45일차 ASA GNS상 설치 (0) | 2017.04.14 |
