Cisco ASA [Chapter 8] Configure Acess List Cisco ASA

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
1. Packet Filtering và Packet classification
- Nhiệm vụ của ACL bao gồm: Packet filtering và Packet Classification
- Packet filtering:
  • Dùng ACl để lọc gói lệnh permit hay deny có ý nghĩa là cho phép hay từ chối
- Packet classification:
  • Dùng ACL để phân loại gói thì chữ permit or deny không có ý nghĩa là cho phép hay từ chối mà nó có ý nghĩa là chia làm 2 nhóm
  • Việc từ chối hay cho phép thì do 1 công cụ khác thực hiện
- Packet Filtering: ACl có thể filter dựa trên thông tin của
  • Layer 2: Header layer 2
  • Layer 3: ICMP, UDP, TCP
  • Layer 3: Source IP, Des IP
  • Layer 4: header Source, Des TCP hoặc UDP port
- Khi sử dụng layer 2 thì Firewall phải chuyển qua mode Transparent.
- Ưu điểm của Firewall so với Router
  • Với Router thì nó kiểm tra từng gói
  • Với Firewall nó chỉ cần kiểm tra 1 gói đầu tiền còn các gói sau nó cho qua mà không cần kiểm trả lại vì trên Firewall có cơ chế Inspection. Các gói tin có cùng Session thì nó chỉ kiểm tra gói đầu tiên, còn các gói sau cùng 1 session thì nó cho qua luôn.
config Access list on Cisco ASA(1)


- Mặc định trong firewall
  • Interface outside (Security level 0 ) có 1 ACL deny any .
  • Interface inside (security-level 100) thì ACL permit any
  • Traffic được khởi tạo từ inside ra outside thì traffic từ outside sẽ đi ngược vào inside được vì trên Firewall đã có lưu Session của traffic
- Các loại ACL
  • Standard ACL: Chỉ mô tả được Source IP.
  • Extended ACL: Mô tả được Source IP, Des IP, Source Port, Des Port
  • IPv6 ACL
  • EtherType ACL: Mô tả thông tin trong layer 2
  • Webtype ACL: Dùng riêng cho web VPN (SSL).
2. Cấu hình ACL on Cisco ASA
- Cấu hình 1 ACl cho phép outside truy cập HTTP và SMTP còn các traffic khác bị deny.

config Access list on Cisco ASA(2)

- Bước 1: thiết lập 1 ACL
//remark: dùng để mô tả ACL
Code:
ASA(config)#access-list OUTSIDE-INSIDE remark this is ther interface ACL to block inbound traffic except HTTP and SMTP

ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.2 host 209.165.202.131 eq http
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp
- trong ACL luôn có 1 câu deny any any, nên câu dưới này không cần thiết. Mục đích của câu dưới để giúp admin biết được các packet bị deny được ghi lại log.
Code:
ASA(config)#access-list OUTSIDE-INSIDE extended deny ip any any log
- Bước 2: Áp ACl lên interface theo chiều nào

ASA(config)#access-group OUTSIDE-INSIDE in interface outside[/TD]

3. To the box traffic Filtering
- Tương tự như access-class bên Router. Nó dùng để filter các traffic liên quan đến việc management như telnet, ssh…
- Với access-class trên Router
Code:
Router(config)#access-list 1 deny 192.168.1.0
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
- Trên Firewall thì Access-class được gọi là “to the bõ traffic filtering”
Code:
ASA(config)#access-list TRAFFIC-MANAGEMENT remark Block all Management traffic on outside interface

ASA(config)#access-list TRAFFIC-MANAGEMENT extended deny ip any any
ASA(config)#access-group TRAFFIC-MANAGEMENT in interface outside control-plane

4. Advance ACL - Object group
- Ý tưởng: nhóm các đối tượng lại và sau đó liên kết các đối tượng lai với nhau.
- Ưu điểm:
  • Dễ quản lý. Khi bạn muốn thêm hoặc bớt 1 đối tượng
  • Với mô hình phức tạp thì Object-Group hiệu quả hơn rất nhiều so với ACl kiểu extended
- Object-group chia làm 4 loại Group
  • Protocol: Mô tả TCP, UDP, ICMP, gre…
  • Network: Mô tả IP, host, subnet …
  • Service: Mô tả các server như HTTP, SMTP, FTP…
  • ICMP type: Mô tả cấu trúc của ICMP (type, code…)
- Tạo 1 nhóm protocol có 2 thành viên là tcp và udp
Code:
ASA(config)#object-group protocol TCP-UDP
ASA(config-protocol)#protocol-object tcp
ASA(config-protocol)#protocol-object udp
- Nesting (lồng) 2 object-group nghĩa là đưa nhóm TCP-UDP vào trong nhóm IP-PROTOCOL. Lúc này trong nhóm IP-PROTOCOL sẽ có 3 thành viên: tcp,udp và gre
Code:
ASA(config)#object-group protocol IP-PROTOCOL
ASA(config-protocol)#protocol-object gre
ASA(config-protocol)#group-object TCP-UDP
- Tạo nhóm Server
Code:
ASA(config)#object-group service ALL-SERVICE
ASA(config-protocol)#service-object gre
ASA(config-protocol)#service-object icmp echo
ASA(config-protocol)#service-object tcp eq http
ASA(config-protocol)#service-object udp eq domain

- Tạo nhóm Network
Code:
ASA(config)#object-group network INSIDE
ASA(config-protocol)#network-object host 192.168.10.1

config Access list on Cisco ASA(3)


- Ví dụ: viết ACl chỉ cho phép các traffic HTTP và SMTP từ outside vào inside còn các traffic khác sẽ bị deny.
  • Tạo group mô tả protocol tcp
Code:
ASA(config)#object-group protocol TCP
ASA(config-protocol)#protocol-object tcp
  • Tạo group mô tả các host vùng outside
Code:
ASA(config)#object-group network OUTSIDE
ASA(config-protocol)#network-object host 209.165.202.131
ASA(config-protocol)#network-object host 209.165.202.132
  • Tạo group chứa các host vùng inside
Code:
ASA(config)#object-group network INTSIDE
ASA(config-protocol)#network-object host 209.165.201.131
ASA(config-protocol)#network-object host 209.165.201.132
  • Tạo group mô tả service http và smtp
Code:
ASA(config)#object-group service HTTP-SMTP tcp
ASA(config-protocol)#port-object eq www
ASA(config-protocol)#port-object eq smtp
  • Tạo access-list chứa các object-group đã mô tả ở trên theo thứ tự goup: protocol -> network(outside và intside) -> service
Code:
ASA(config)#access-list OUTSIDE-INSIDE extended permit object-group TCP object-group OUTSIDE object-group HTTP-SMTP
  • Áp ACl lên interface outside theo chiều in
Code:
ASA(config)#access-group OUTSIDE-INSIDE in interface outside
5. Time Base ACls:
Chia làm 2 loại:
- Absolute:
  • ACL có giá trị trong khoảng thời gian nào.
  • Ví dụ: vào 8h sáng hôm nay cho nhân viên bên ngoài ra internet. Mang tính thời vụ
  • ACL có tác dụng trong vòng 1h.
  • start: Nếu không có từ khóa thì ACL có tác dụng ngay bây giờ
  • end: Nếu không có end từ ACL sẽ không có kết thúc
Code:
ASA(config)#time-range CONSULTANT_HOURS
ASA(config-time-range)#absolute start 08:00 01 June 2014 end 09:00 01 June 2014
  • Áp access-list ở trên vào interface
Code:
ASA(config)#access-list INSIDE_SERVER extended permit tcp any host 209.165.202.131 eq 80 time-range CONSULANT_HOURS
ASA(config)#access-group INSIDE_SERVER in interface outside
- Periodic: ACL có tính chu kì. Ví dụ: định kì mỗi ngày 8h sang permit cho user đi internet
  • ACL có tác dụng từ 8h - 17h hàng ngày, trừ chủ nhật làm 1/2 ngày 8h - 12h
Code:
ASA(config)#time-range BUSINESS_HOURS
ASA(config-time-range)#periodic weekdays 08:00 to 17:00
ASA(config-time-range)#periodic Saturday 08:00 to 12:00
  • Áp access-list ở trên vào interface
Code:
ASA(config)#access-list INSIDE_SERVER extended permit tcp any host 209.165.202.131 eq 80 time-range BUSINESS_HOURS
ASA(config)#access-group INSIDE_SERVER in interface outside
- Để sử dụng Time Base ACLs các bạn cần có NTP
  • Ntp master: dùng làm đồng hồ chính
  • Ntp server : các con khác sẽ đồng bộ thời gian từ con NTP master
6. Downloadable ACLs
- ACL áp cho từng user riêng biệt
  • Bước 1: Host A truy cập internet đụng Firewall
  • Bước 2: Firewall yêu cầu chứng thực “username/password”
  • Bước 3: Host A trả lời User/pass
  • Bước 4: Firewall forward user/pass của host A cho 1 Radius server(ACS server)
  • Bước 5: chứng thực thành công ACS cho phép user truy cập internet và nó kèm theo 1 ACL cho host A. Ví dụ: Cho phép user ra internet nhưng không cho phép xem hình
config Access list on Cisco ASA(4)
 
Last edited:
Cám ơn bạn ! Các bài của bạn đăng rất là bổ ích cho mọi người ! Mình đọc hết tất cả các bài viết của bạn, mình thấy rất dễ hiểu ! Hy vọng bạn có nhiều bài hơn nữa để mọi người cùng học hỏi
 
Cám ơn bạn ! Các bài của bạn đăng rất là bổ ích cho mọi người ! Mình đọc hết tất cả các bài viết của bạn, mình thấy rất dễ hiểu ! Hy vọng bạn có nhiều bài hơn nữa để mọi người cùng học hỏi

hì thanks bạn :). Nếu bạn có thắc mắc hoặc có lab thì cứ đưa lên mình cũng muốn được học hỏi từ mọi người

Hi mình vọng mọi được làm Lab thật nhiều cùng mọi người
 
Bác có thể làm một lab hướng dẫn việc publish dns không? cảm ơn bác nhiều lắm
 
Hi bạn,

Có thể cho mình xin mô hình của bạn và yêu cầu của bạn được không ? Càng cụ thể và càng nhiều yêu cầu càng tốt :D thanks bạn đã quan tâm !
 
Hi bạn,

Có thể cho mình xin mô hình của bạn và yêu cầu của bạn được không ? Càng cụ thể và càng nhiều yêu cầu càng tốt :D thanks bạn đã quan tâm !

Cảm ơn Bác đã nhận lời giúp đỡ.
Đây là mô hình em giả lập trên GNS3 với ASA-5520 version 8.4(2)
Trong vùng DMZ đã có một web-server với ip 172.16.1.5 và một DNS với ip 172.16.1.3.
Em muốn publish thằng DNS ra ngoài internet để truy cập bằng tên miền vào web-server. Web-server đã Publish thành công ra địa chỉ đầu ngoài Router là 192.168.0.236.
Mong bác giúp em vấn đề Publish DNS.
Cảm ơn bác nhiều lắm ss1.jpg
 
Hi backtrack,

  1. Cho mình hỏi là bạn muốn Public DNS ra ngoài Internet bằng 1 IP public đúng không ? Nếu bạn đã public thành công web server vầy tại sao bạn không public DNS server theo cách như web server ? vấn đề bạn gặp phải là gì ?
  2. Và Client ngoài internet sẽ trỏ về DNS của bạn đã public để truy cập web-server của bạn ? Muc đích của bạn public DNS là như thế nào, tác dụng gì ?

Thanks,
 
Hi backtrack,

  1. Cho mình hỏi là bạn muốn Public DNS ra ngoài Internet bằng 1 IP public đúng không ? Nếu bạn đã public thành công web server vầy tại sao bạn không public DNS server theo cách như web server ? vấn đề bạn gặp phải là gì ?
  2. Và Client ngoài internet sẽ trỏ về DNS của bạn đã public để truy cập web-server của bạn ? Muc đích của bạn public DNS là như thế nào, tác dụng gì ?

Thanks,

Xin chào bác Root!
Chắc có thể do vấn đề thứ 2 ở client chưa trỏ về DNS.
Mục đích việc publish DNS nếu doanh nghiệp không thuê DNS ở ngoài mà có sẵn máy chủ trong công ty cài DNS. Khi publish DNS ra ngoài các máy ngoài internet có thể truy cập vào web site của cty theo tên miền.
Cảm ơn Bác đã giúp đỡ. Có thể ngày mai bài này sẽ thành công.
Thân ái!
 
Hi backtrack,


MÌnh hiểu ý của bạn là ,muốn public webserver ra internet và DNS ra internet. Từ đó user ngoài internet có thể truy cập vào webserrver thông qua tên miền trên DNS server mà bạn public ra. Và sau đây mình có 1 số góp ý như sau
  1. Việc public DNS và webserver yêu cầu bạn phải có IP Public. Nếu bạn muốn tiết kiệm bạn có thể sử dụng NAT port cho các ứng dụng cần NAT. ex: port 80 cho web, 53 cho DNS... để tiết kiệm IP public của bạn.
  2. Khi bạn đã public webserver ra internet thì chắc chắn bạn đã có thể truy cập webserver bằng IP public và việc còn lại là bạn muốn truy cập bằng tên miền tới webserver thông qua DNS server bạn public. Việc này có thể tiết kiệm cho phí mua tên miền cho cty bạn. Nhưng có 1 nhược điểm là user phải trỏ DNS về DNS server của bạn.
  3. Nếu bạn cần hỗ trợ thếm, bạn có thể cho mình info(skype, yahoo...) của bạn để mình liên hệ nhé...:D

Chúc bạn thành công!
 
Xin chào Root!
Xin chân thành cảm ơn sự giúp đỡ nhiệt tình của Bác!
Nếu có thể Bác có thể giúp em hiểu rõ hơn về Layer 2, 3,4 trong bài này với. Vì sao lại có hai layer cùng tên.
Vì ASA này giờ em mới được tiếp cận lần đầu.
Skype của em đây: chimcanhcut_j00001
Một lần nữa xin cảm ơn sự giúp đỡ nhiệt huyết!
 
hi backtrack ,
Vấn đề về layer chắc mình phải quay lại bài mô hình siêu kinh điển OSI và TCP/IP rồi. Có thời gian mình sẽ nói rõ chi tiết về vấn đề layer trong OSI và layer để cấu hình trong Firewall.
Bạn có thể làm lab với các ACL ở các layer khác nhau để hiểu rõ hơn vấn đề này
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu