49일차 ASA 이중화 failover

방화벽 이중화

두 개의 동일한 장비를 Failover Link로 연결

동작 상태를 체크하고 장애 발생시 failover가 작동한다.

Active 장비의 IP, Mac 주소는 Standby 장비가 받고, Standby 장비의 IP Mac 주소는   Active 장비가 받는다.

동작모드

Active/Active : 양쪽 장비 모두가 트래픽 처리. 부하분산 가능. Security Context에서만 지원

Active/Standby : 한 장비만 트래픽을 처리.

Stateful 이중화

주 장비가 현재의 세션 정보를 standby 장비에게 전달한다.

장애가 발생해도 사용자들의 접속은 끊어지지 않는다.

ASA-1 에서 설정 다하고

ASA-2에서 failover 설정으로 설정을 받아온다.

#ASA-1

int g 0

 no sh

 nameif inside

 ip add 10.10.1.1 255.255.255.0 standby 10.10.1.2 

int g 1

 no sh

 nameif outside

 ip add 1.1.100.1 255.255.255.0 standby 1.1.100.2

 router ospf 1 

 net 10.10.1.1 255.255.255.255 area 0

 net 1.1.100.1 255.255.255.255 area 0 

 exit

후 외부 인터넷이 되게 게이트웨이 잡아준 후에 접속해본다.

만약에 XP에서 외부 인터넷으로 접속이 된다면 

이제 failover 설정을 해준다.

#ASA-1

int g2

 no sh

 failover lan unit primary

failover lan interface FL g2  // g2 인터페이스를 failover lan으로 설정하고 이름을 FL로 지정하겠다.

failover link FL // 위에서 지정한 FL을 지정

failover key cisco123 //  장비끼리 서로 인증을 할 키 값

failover interface ip FL 10.10.100.101 // failover에서 사용할 ip 지정 

failover 

설정은 했지만

failover 해줘도 동기화를 하지 못한다.

  

#ASA-2

 int g 0

  no sh

 int g1

  no sh

 int g2

  no sh

  exit

 failover lan unit secondary

failover lan interface FL g2

failover key cisco123

failover interface ip FL 10.10.100.101 255.255.255.0 standby 10.10.100.102

Detected 메시지가 뜬다.

config를 그대로 가져오기 때문에 hostname config까지 가져온다.

Active 장비인 ASA-1에서 show failover로 확인했을 때,

secondary 장비인 ASA-2 에서 show failover 한 모습.

active 를 넘길 때 active 장비에서 해도 되고 standby 장비에서 해도된다.

active 장비에서 : no failover active

standby 장비에서 : failover active

둘 중 하나를 해주면 된다.

ASA2

ASA1

show failover로 보면 ASA-1이 standby로 변경 돼 있는 것을 확인이 가능

R2에서 R1으로 telnet 접속 도중

Active 변경해도 안끊어지는 것을 확인 .

R2에서 R1으로 ping 계속 보내고 있고

ESW1에서 f1/10을 shutdown 시켜준다

10개정도 보내는동안 바뀐다.

failed 확인가능

ASA-2 에서도 역시 확인 가능

ESW1 인터페이스 다시 no sh으로 활성화 시켜준후 ASA-1에서 show failover 한 모습

failed라고 떴던 게 Standby Ready

ASA AA Failover Topology 

asa 1, 2 둘다 mode multiple로 multiple mode로 바꿔준다

e1, e2는 공유하고 e0은 개별적인 것으로 context를 나눠준다

[ Config ]

int g 1

 no sh

int g 2

 no sh

int g 0

 no sh

int g0.20

 vlan 20

 exit

int g0.30

 vlan 30

 exit

context C1-ASA

 allocate-interface g1

 allocate-interface g0.20

 config-url disk0:/C1-ASA.cfg

context C2-ASA

 allocate-interface g1

 allocate-interface g0.30

 config-url disk0:/C1-ASA.cfg

exit

mac-address auto

changeto context C1-ASA

int g 1

 nameif outside

 ip add 1.1.100.1 255.255.255.0 standby 1.1.100.2

 exit

ping 1.1.100.254

int g 0.20

 nameif inside

 ip add 10.10.20.1 255.255.255.0 standby 10.10.20.2

 exit

ping 10.10.20.3

route outside 0 0 1.1.100.254

ping 8.8.8.8

#

changeto context C2-ASA

int g1

 nameif outside

 ip add 1.1.100.22 255.255.255.0 standby 1.1.100.11

 exit

ping 1.1.100.254

int g0.30

 nameif inside

 ip add 10.10.30.2 255.255.255.0 standby 10.10.30.1

 exit

ping 10.10.30.3

route outside 0 0 1.1.100.254

ping 8.8.8.8

----------------- outside, inside interface 설정 끝 --------------------------

policy-map global_policy

 class inspection_default

 inspect icmp

 exit

exit

changeto context C1-ASA

policy-map global_policy

class inspection_default

 inspect icmp

 exit

exit

changeto system

failover lan unit primary

failover lan interface FL g2

failover link FL

failover key cisco123

failover interface ip FL 10.10.100.101 255.255.255.0 standby 10.10.100.102

failover group 1 

 primary

 preempt

 exit

failover group 2

 secondary

 preempt

 exit

context C1-ASA

 join-failover-group 1

 exit

context C2-ASA

 join-failover-group 2

 exit

changeto context C1-ASA

 monitor-interface inside

changeto context C2-ASA

 monitor-interface inside

changeto system

failover

----------------- g2 설정 후 failover 설정하고 failover 그룹 만들고 inside 모니터링 하는것 까지 추가-------------------------------------

#ASA-2

int g 0

 no sh

int g 1

 no sh

int g 2

 no sh

 ex

failover lan interface FL g2

 failover key cisco123

 failover interface ip FL 10.10.100.101 255.255.255.0 standby 10.10.100.102

ASA_AA_Config.txt

실무에서 로그는 굉장히 많다.

이 로그를 분석하는 능력을 길러야한다. 기본적인 공격 방법들, 이해가 필요하고 보안장비가 돌아가는 방식 등을 숙지하고 있어야한다.