Firewall Builder zur Konfiguration von Cisco ASA & PIX verwenden

Autor: Mike Horn
http://www.fwbuilder.org

Firewall Builder ist eine GUI zur Konfiguration und Verwaltung von Firewalls, die die Konfiguration einer Vielzahl von Firewalls aus einer einzigen Anwendung unterstützt. Unterstützte Firewalls sind Linux iptables, BSD pf, Cisco ASA/PIX, Cisco-Router-Zugriffslisten und viele mehr. Die vollständige Liste der unterstützten Plattformen sowie herunterladbare Binärpakete und Quellcode finden Sie unter http://www.fwbuilder.org.

Dieses Tutorial ist das zweite in einer Reihe von Artikeln, die die grundlegenden Schritte zur Verwendung von Firewall Builder zur Konfiguration jeder der unterstützten Firewall-Plattformen durchgehen. In diesem Tutorial werden wir Zugriffssteuerungslisten (ACL) auf einer Cisco ASA-Firewall konfigurieren.

Das folgende Diagramm zeigt eine einfache Firewall-Konfiguration mit 2 Schnittstellen, die auf einer Cisco ASA 5505 basiert, wobei die Firewall als Gateway zum Internet für ein privates LAN-Netzwerk fungiert.

Wir werden Firewall Builder verwenden, um die folgenden grundlegenden Regeln als Zugriffslisten auf der Firewall zu implementieren.

Erlaube internen Verkehr (10.0.0.0/24) durch die Firewall zu jeder Internetadresse für die HTTP- und HTTPS-Protokolle
Erlaube internen Verkehr vom E-Mail-Server (10.0.0.25) durch die Firewall zu einer bestimmten IP-Adresse (198.51.100.25) für das SMTP-Protokoll. Dieser externe Server fungiert als externes Mail-Relay.
Erlaube eingehendes SMTP von der externen IP-Adresse (198.51.100.25) zum internen E-Mail-Server (10.0.0.25).
Erlaube internen Verkehr (10.0.0.0/24) zur internen Schnittstelle der Firewall (Ethernet0/1) für das SSH-Protokoll.

Beachten Sie, dass Cisco ASA- und PIX-Zugriffslisten am Ende jeder ZugriffsListe ein implizites Verbot aller haben, sodass alles, was wir nicht explizit erlauben, abgelehnt wird.

Wir werden auch Firewall Builder verwenden, um die NAT-Konfiguration auf der Firewall zu implementieren.

Quell-NAT für gesamten internen Verkehr (10.0.0.0/24) durch die Firewall, der an jede Internetadresse gerichtet ist, wobei die Quell-IP auf die IP-Adresse der externen Schnittstelle (Ethernet0/0) geändert wird.
Ziel-NAT für Verkehr von der externen IP-Adresse (198.51.100.25), dem externen SMTP-Relay-Server, der an die externe Schnittstelle mit TCP-Zielport 25 (SMTP) kommt und an einen internen E-Mail-Server (10.0.0.25) weitergeleitet wird.

HINWEIS

In diesem How-to verwenden wir eine ASA 5505, die ASA OS v8.3 ausführt. Einige der Befehlsyntax, insbesondere für NAT, sind in früheren Versionen von ASA OS unterschiedlich, aber darüber müssen Sie sich keine Sorgen machen, da Firewall Builder automatisch die richtigen Konfigurationsbefehle basierend auf der für die Firewall festgelegten Version generiert.

Schritt 1: Netzwerkobjekte erstellen

Wir werden damit beginnen, die Objekte zu erstellen, die in den Regeln verwendet werden. Firewall Builder enthält Hunderte von vordefinierten Objekten, einschließlich der meisten Standardprotokolle, sodass wir zur Implementierung der obigen Regeln nur die Objekte erstellen müssen, die spezifisch für unser Netzwerk sind. Für unsere Regeln bedeutet dies, dass wir Objekte für das interne Netzwerk 10.0.0.0/24, für den internen E-Mail-Server (10.0.0.25) und für den externen SMTP-Relay-Server mit der IP-Adresse 198.51.100.25 erstellen müssen.

Neues IP-Netzwerkobjekt erstellen

Um das Objekt zu erstellen, das unser internes Netzwerk 10.0.0.0/24 im linken Baum darstellen wird, doppelklicken Sie auf den Ordner mit der Bezeichnung Objekte, um ihn zu erweitern. Klicken Sie mit der rechten Maustaste auf den Ordner namens Netzwerke und wählen Sie “Neues Netzwerk”. Dies erstellt ein neues Netzwerkobjekt. Im unteren Bereich Ihres Bildschirms, der als Editor-Panel bezeichnet wird, können Sie die Eigenschaften dieses Objekts ändern.

Ändern Sie den Objektnamen in etwas, das der Funktion entspricht; in diesem Beispiel nennen wir es “Internes Netzwerk”, um die lokalen LAN-IP-Adressen darzustellen. Die Adresse ist auf 10.0.0.0 eingestellt und die Subnetzmaske ist 255.255.255.0.

HINWEIS: Beim Bearbeiten der Attribute eines Objekts gibt es keine Schaltfläche Anwenden oder Einreichen. Sobald Sie ein Attribut bearbeitet haben, wird die Änderung sofort wirksam, sobald Sie das Feld verlassen, das Sie bearbeitet haben.

Neues IP-Adressobjekt erstellen

Wiederholen Sie diesen Vorgang, um ein Objekt zu erstellen, das den SMTP-Relay-Server darstellt, der in Regel #2 verwendet wird. Gehen Sie zum Objektbaum, klicken Sie mit der rechten Maustaste auf den Ordner Adressen und wählen Sie Neue Adresse. Ändern Sie im Editor-Panel den Namen des Objekts in “SMTP Relay” und setzen Sie die IP-Adresse auf 198.51.100.25.

Wiederholen Sie die obigen Schritte, um ein neues Adressobjekt zu erstellen, das den internen E-Mail-Server (10.0.0.25) darstellt. Nachdem Sie fertig sind, sollten Sie zwei Objekte im Systemordner Adressen im Objektbaum sehen.

Schritt 2: Die Firewall definieren

Um ein Firewall-Objekt zu erstellen, das Ihre Cisco ASA darstellt, klicken Sie auf das Symbol “Neue Firewall erstellen” im Hauptfenster von Firewall Builder. Dies startet einen Assistenten, der Sie durch die Erstellung Ihres Firewall-Objekts führt.

Geben Sie einen Namen für das Firewall-Objekt ein; in diesem Beispiel verwenden wir asa-1. Ändern Sie das Dropdown-Menü für die Software, die auf der Firewall läuft, auf “Cisco ASA (PIX)”.

Klicken Sie auf die Schaltfläche Weiter >, um mit dem Assistenten fortzufahren.

Beim Erstellen einer Firewall in Firewall Builder haben Sie die Wahl, die Schnittstellen manuell zu konfigurieren, oder Sie können die SNMP-Entdeckung verwenden, wenn Sie SNMP auf Ihrem Router aktiviert haben und Zugriff auf eine Read-Only- oder Read-Write-Community-String haben. Für dieses Beispiel werden wir die Router-Schnittstellen manuell konfigurieren.

Klicken Sie auf die Schaltfläche Weiter >, um zum nächsten Schritt zu gelangen.

Die Firewall, die Sie in Firewall Builder erstellen, muss mit der Cisco ASA oder PIX-Firewall übereinstimmen, auf der Sie die Zugriffslisten bereitstellen möchten. Das bedeutet, dass die Schnittstellennamen und IP-Adressen im Firewall-Objekt, das Sie erstellen, genau übereinstimmen müssen mit dem, was auf der ASA oder PIX konfiguriert ist.

Klicken Sie auf das grüne Symbol, um eine neue Schnittstelle zur Firewall hinzuzufügen. Geben Sie den Namen der Schnittstelle genau so ein, wie er auf der ASA- oder PIX-Befehlszeile angezeigt wird, wenn Sie den Befehl “show interface” ausführen. In unserem Beispiel sind die Schnittstellen Ethernet0/0 bis Ethernet0/7, aber wir werden nur die Schnittstellen Ethernet0/0 und Ethernet0/1 verwenden.

Setzen Sie den Schnittstellennamen auf Ethernet0/0 und das Label auf außen. Klicken Sie auf die Schaltfläche Adresse hinzufügen und setzen Sie die IP-Adresse auf 192.0.2.1 mit einer Subnetzmaske von 255.255.255.240.

Klicken Sie auf das grüne Symbol, um eine weitere Schnittstelle zur Firewall hinzuzufügen. Geben Sie die Informationen im Assistenten ein, um die zweite Schnittstelle wie folgt anzupassen:

Klicken Sie auf die Schaltfläche Weiter >.

Firewall Builder wird automatisch das Sicherheitsniveau der Schnittstelle basierend auf dem Schnittstellenlabel und der IP-Adresse festlegen. Die externe Schnittstelle wird auf Sicherheitsniveau 0 und die interne Schnittstelle auf Sicherheitsniveau 100 gesetzt.

Klicken Sie auf die Schaltfläche Fertigstellen, um das Firewall-Objekt zu erstellen.

Nachdem Sie das Firewall-Objekt erstellt haben, das die ASA oder PIX darstellt, wird das Firewall-Objekt im Objektbaum auf der linken Seite angezeigt. Das Policy-Objekt, in dem die Regeln der Zugriffslisten konfiguriert sind, wird automatisch im Hauptfenster geöffnet.

Firewall Builder verwendet das Konzept der Netzwerkzonen, um die Netzwerktopologie zu bestimmen, um Regeln korrekt zu erstellen. Jede Firewall-Schnittstelle hat eine entsprechende Netzwerkzone, die festgelegt werden muss. Die Netzwerkzone stellt die Menge von IP-Netzwerken dar, die die Quelle des eingehenden Verkehrs zu einer Schnittstelle wären.

Wenn Sie beispielsweise 10.0.0.0/8 für Ihr internes Netzwerk verwenden, sollte die “inside”-Schnittstelle ihre Netzwerkzone auf ein Objekt setzen, das 10.0.0.0/8 darstellt. Netzwerkzonen können ein Netzwerkobjekt oder ein Gruppenobjekt sein, das mehrere Netzwerkobjekte umfasst. Ein Beispiel dafür, wann Sie ein Gruppenobjekt verwenden würden, ist, wenn Ihr internes Netzwerk sowohl 10.0.0.0/8 als auch 172.16.0.0/16 verwendet. In diesem Fall würden Sie ein Gruppenobjekt erstellen, das Netzwerkobjekte für beide IP-Netzwerke umfasst, und dieses Gruppenobjekt als Netzwerkzone Ihrer “inside”-Schnittstelle verwenden.

Für die “outside”-Schnittstelle setzen Sie normalerweise ihre Netzwerkzone auf “Any”, was alle IP-Netzwerke sind, die mit keiner anderen Schnittstelle verbunden sind. Setzen Sie die Netzwerkzone, indem Sie auf das Schnittstellenobjekt der Firewall doppelklicken und die Netzwerkzone aus der Dropdown-Liste auswählen.

In diesem Beispiel werden wir die Netzwerkzone für die Ethernet0/0 “outside”-Schnittstelle auf “Any” und die Netzwerkzone für die Ethernet0/1 “inside”-Schnittstelle auf “net-10.0.0.0” setzen, wie unten gezeigt.

HINWEIS: Die oben verwendeten Netzwerkzonen sind speziell für dieses Beispiel. Wenn Sie in Ihrer Netzwerkumgebung andere IP-Adressen und Netzwerke verwenden, müssen Sie möglicherweise andere Werte für die Netzwerkzone auswählen.

Jetzt, da die ASA-Firewall bereit für die Konfiguration ist, sollten wir unsere Datendatei speichern, die das neue Firewall-Objekt enthält, das wir gerade erstellt haben, bevor wir fortfahren. Tun Sie dies, indem Sie im Menü Datei -> Speichern unter auswählen. Wählen Sie einen Namen und einen Speicherort aus, um diese Datei zu speichern.