root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Configuration interface Cisco ASA


Hướng dẫn cấu hình interface Cisco ASA

I. Configuring physical interface Cisco ASA


1. Lệnh show version Firewall ASA


- Show ra interface và có thêm thông tin MAC address kế bên interface
- Show int ip brief giống với (show ip int brief trên Router)
Code:
ASA#show version
ASA#show int ip brief

2. Show nameif firewall ASA


- Xem tên của interface
- Sau này tên interface sẽ dùng để đại diện interface và các hình ACL, NAT … đều sử dụng tên cái tên này
- Lưu ý: Đối với ASA 5505 thì mặc định chỉ có( 8 cổng layer 2 + 1 cổng layer 3).
  • 1 cổng vật lý layer 3 nằm ở phía sau
  • Các cổng còn lại nằm phía trước là layer 2 gồm
    • Ethernet 0/0 thuộc VLAN 2
    • Ehternet 0/1-0/7 thuộc VLAN 1
  • Để sử dụng các cổng Ethernet 0/0 – 0/7 ở layer 3 thì bạn phải cấu hình interface VLAN
Code:
ASA#show switch vlan
- ASA 5505 dùng để phục vụ cho mô hình super small
- Các dòng còn lại 5510 trở đi thì các cổng đều là layer 3

3. Configuring physical interface parameters firewall ASA


- Speed {auto | 10 | 100 | 1000}
  • khi dùng speed {10 | 100 | 1000} thì tốc độ sẽ bị fix cứng
  • khi dùng speed auto: lúc này 2 bên sẽ thương lượng với nhau để đạt tốc độ truyền phù hợp với nhau.
Ví dụ: 1 bên có speed là 100Mbps còn 1 bên là 1000Mbps thì khi sử dụng mode auto 2 bên sẽ tự thương lượng và sử dụng chung tốc độ là 100Mbps
- Câu lệnh bandwith(dùng tính toán metric định tuyến) khác với speed
- Có 2 vấn đề thương gặp phải với chỉnh speed:
  • Về mặt thiết bị: Nếu 2 bên ko có tốc độ truyền giống nhau sẽ dễ sinh ra các lỗi như: Min max tốc độ, CRC …Ví dụ: Nếu bạn mua 1 thiết bị mới về có tốc độ 1000Mbps sống chung với các thiết bị cũ trong hệ thống có tốc độ 100Mbps thì bạn phải hạ tốc độ con mới về 100Mbps thì nó mới nhận và hoạt động tốt.
  • Về mặt công nghệ: Ví dụ: Ngoài biển để truyền về đất liền nó triển khai Anten Wimax. Thì công nghệ Wimax có tốc độ tối đa là 45Mbps. Mà con Router có tốc độ là 100Mbps đổ vào thiết bị Wimax thì lúc này dữ liệu đổ vào Wimax quá nhanh
=> dẫn đến tình trạng thắt cổ chai. Dữ liệu phải đợi trong những hành chờ. Hàng chờ hữu hạn nên khi nó ful thì gói tin sẽ bị drop
=> gói tin sẽ phải gửi lại => Nghẽn(phân biệt: ngẽn giống như có cái cây chắn ngang đường ko đi được, còn chậm là kẹt xe nhưng vẫn lết từng bước về nhà được) => cần phải hạ tốc độ xuống

- Giải pháp:
  • Hạ speed Router xuống 10 vì trong Router chỉ có (10|100|1000 ko có 45Mbps kể cả auto chỉ auto với con bên kia). Nhưng lúc này dữ liệu nó sẽ nhỏ giọt =>chậm => lãng phí
  • Thì để đẹp nhất chúng ta hạ speed router xuống 45Mbps bằng cách truyền gói tin với tốc độ 100Mbps nhưng ko cho nó truyền luôn mà giữ gói tin 1 thời gian để nó giảm tốc độ :
    • Khi truyền nó truyền 100MBp trong vòng 1s đến đích
    • Giờ ta giữ gói tín lâu hơn 2s lúc này 100Mbp sẽ đến đích trong vòng >2s. Tốc độ sẽ là 45Mbp trong 1s => 45Mbps
  • Để kìm hãm gói tin trong vòng bao nhiêu milisecond thì bạn có thể dùng 2 công nghệ sau
    • Shaping: Điều hòa lưu lượng. Hay xài trong doanh nghiệp. Mỗi tháng chỉ có 3 củ. Mỗi ngày chỉ được xài 100k, nhưng hôm nay bạn xài hơn 100k thì ngày mai bạn phải xài ít đi miễn sao cuối tháng cộng lai = 3 củ
    • Policing: Khống chế lưu lượng. Hay dùng ở ISP để khống chế dung lượng download…Ví dụ: 1 ngày chỉ được xài 100k, ko được xài quá 100k, nếu hôm nay bạn xài không hết 100k thì số tiền dư sẽ vứt đi

4. Configuring interface Redundancy Cisco ASA


- Khi 1 Switch chết thì sao? Lúc này người ta gắn thêm 1 core_SW để dự phòng. Nhưng lúc này nó sẽ sinh ra 2 Zone khác nhau(2 broadcast domain khác nhau -> Policy trên mỗi interface độc lập với nhau, policy áp trên interface này phải áp trên interface kia luôn mà IP 2 interface này khác nhau, chưa kể khi core_SW1 chết làm sao user có thể biết trỏ gateway core_SW2 mà dùng… nhiều vấn đề
- Lúc này nó sinh ra 1 công nghệ, 2 interface nhập lại thành 1( 1 interface active và 1 interface backup). Khi 2 interface nhập lại 1 thì lúc này nó phải có 1 interface đại diện gọi là interface redundancy.
- Interface Redundancy: 2 interface nhập thành 1 interface lúc này chúng sẽ có chung: IP, policy...
- Các lệnh cấu hình:
- Tạo Interface redundancy đại diện
Code:
ASA(config-int)#member-interface physical-member
  • Tối đa gom được 2 interface
- Mặc định khi cấu hình thì member-interface nào join vào redundancy interface trước sẽ làm active. Và nó sẽ lấy MAC của interface đó để sử dụng, cho dù bạn interface active có bị down thì redundancy interface vẫn sử dụng MAC đó. Để thay đổi MAC ta có thể dùng lệnh sau
Code:
ASA(config)#interface port-channel 1
- Rồi sau đó mới gõ các lệnh như: no shutdown, gán IP, mode trunk …
- Và lệnh cuối cùng là gán thành viên cho channel
Code:
Router(config-subif)#encapsulation dot1Q 10

Còn với ASA
Code:
ASA(config)#vlan 10
- Các lệnh cấu hình trên ASA


II. Configuring interface security Cisco ASA


- Ý tưởng: Ngày xưa người ta muốn hệ thống mạng an toàn thì mặc định người ta đóng kín cửa lại hết ko cho ai vô.
- Nhưng khi có 1 traffic từ bên trong khởi tạo đi ra bên ngoài thì traffic đi về được chui vô lỗ đó để đi vào. Nghĩa là các traffic từ bên ngoài mà muốn đi được vào bên trong LAN thì traffic đó phải được khảo tạo từ chính bên trong LAN.
- Để thực hiện ý tưởng trên người ta đưa ra các cách

1. Establish key world:
- Dựa vào cơ chế bắt tay 3 bước
Inside ----- SYN ---> Outside
inside <----SYN/ACK ---- Outside
inside ----- ACK ----> Outside
- Dựa vào cơ chế 3 way handshark người ta sẽ chặn các gói syn từ bên ngoài khảo tạo gửi vào, nhưng cho phép các gói SYN/ACK đi qua. Điều này có thể thấy chỉ từ bên trong mới được khởi tạo traffic kết nối ra ngoài bằng gói SYN. Còn bên ngoài ko thể khởi tạo kết nối vào bên trong.
- Nhược điểm: Chỉ hỗ trợ TCP. Nếu bạn ko dùng TCP mà dùng các giao thức khác như ICMP… thì nó không bị chặn

2. Reflexive Access-list

- Tạo 1 tracking table lưu lại các session của user như sour Ip, DesIP, source port, des port…
- Khi bạn tạo 1 traffic đi ra ngoài thì nó sẽ lưu vào bảng trạng thái để chút nữa traffic đi về sẽ được so sánh với bảng trạng thái. Nếu nó có trong bảng trạng thái thì được đi qua, còn nếu bên ngoài tự khởi tạo traffic vào bên trong thì sẽ bị drop vì ko có session trên bảng trạng thái.
- Nhược điểm: Chỉ có khả năng nhìn vào đến layer 4. Có nhiều ứng dụng nó sử dụng port động như yahoo…
Khi bên trong kết nối ra bên ngoài nó lưu vào bảng trạng thái là IP, port nhưng sau khi thương lượng xong ứng dụng tự đổi port khác. Lúc này traffic ko được mô tả trong bảng trạng thái nên nó bị drop.

3. CBAC

- giống với CBAC nhưng hơn ở chỗ là bảng trạng thái nó lưu lại được ở trên layer 7. Nên khúc dưới nó ko quan tâm port bao nhiêu vì mỗi cấu trúc mỗi giao thức trên layer 7 nó ko thây đổi cho dù port thay đổi

4. Zone-base firewall

- Giống với CBAC chỉ khác cách tổ chức là gom các interface thành group để dễ quản lý hơn.
Ví dụ: Bạn có 3 interface VLAN, 3 interface DMZ, 3 interface Internet. Vậy khi cấu hình theo kiểu CBAC thì bạn phải cấu hình từng cặp 1vlan tới internet 1, 1vlan đến 2 internet 2… Lúc này quá phức tạp thì người ta mới gom 3 interface VLAN thì 1 zone an toàn, 3 interface dmz thành zone Dmz, 3 internet thành zone nguy hiểm. Lúc này chỉ cần 1 câu lệnh từ zone an toàn đến internet
=> Security level: Chỉ cần cho số bằng nhau để gom thành 1 group

III. Configuring interface - security Firewall ASA


1. Setting security level Firewall ASA


- Khi 2 interface có cùng security level thì 2 interface ko nói chuyện được với nhau. Để nói chuyện được dùng lệnh sau:
- Dùng cho 2 interface vật lý
Code:
ASA(config)#same-security-traffic permit intra-interface

2. Configuring the interface MTU Firewall ASA


- MTU mặc định 1500 bytes.
- Đôi khi có các giao thức đính kèm thêm header vào gói tin như cấu hình GRE tunnel, nó đính kèm 24 bytes vào packet -> lúc này gói tin sẽ có kích thước 1524 bytes, nó không chui lọt qua cửa sổ nên lúc này nó phải fragment(chia nhỏ). Trong gói tin có field fragment ofset để biết chút reassemble(ráp lại).
- Khi fragment thì tốn bộ nhớ, cpu, ram… thời gian chờ để ráp. Nếu trong các doanh nghiệp lớn người ta cần tính toán fragment kĩ để giảm delay.
- Có 2 cách fragment:
  • cắt xuống 1476 bytes
  • Mở cửa sổ lớn hơn 1524 bytes
- Cấu hình
Code:
ASA(config)# mtu int-name bytes


Các bài lý thuyết trong
Module 3
: Configuring ASA Interfaces
  1. [Chapter 3] Configuring Cisco ASA interfaces
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu