Utilizzare Firewall Builder per configurare Cisco ASA e PIX

Autore: Mike Horn
http://www.fwbuilder.org

Firewall Builder è un’interfaccia grafica per la configurazione e gestione dei firewall che supporta la configurazione di un’ampia gamma di firewall da un’unica applicazione. I firewall supportati includono Linux iptables, BSD pf, Cisco ASA/PIX, liste di accesso dei router Cisco e molti altri. L’elenco completo delle piattaforme supportate insieme ai pacchetti binari scaricabili e al codice sorgente può essere trovato su http://www.fwbuilder.org.

Questo tutorial è il secondo di una serie di articoli che illustrano i passaggi fondamentali per utilizzare Firewall Builder per configurare ciascuna delle piattaforme firewall supportate. In questo tutorial configureremo le Liste di Controllo degli Accessi (ACL) su un firewall Cisco ASA.

Il diagramma sottostante mostra una semplice configurazione di firewall a 2 interfacce basata su un Cisco ASA 5505 con il firewall che funge da gateway per Internet per una rete LAN privata.

Utilizzeremo Firewall Builder per implementare le seguenti regole di base come liste di accesso sul firewall.

Consentire il traffico interno (10.0.0.0/24) attraverso il firewall verso qualsiasi indirizzo Internet per i protocolli HTTP e HTTPS
Consentire il traffico interno dal Server Email (10.0.0.25) attraverso il firewall verso un indirizzo IP specifico (198.51.100.25) per il protocollo SMTP. Questo server esterno funge da relay di posta esterno.
Consentire l’SMTP in ingresso dall’indirizzo IP esterno (198.51.100.25) al Server Email interno (10.0.0.25).
Consentire il traffico interno (10.0.0.0/24) all’interfaccia interna del firewall (Ethernet0/1) per il protocollo SSH.

Si noti che le liste di accesso Cisco ASA e PIX hanno un deny implicito alla fine di ogni lista di accesso, quindi qualsiasi cosa per cui non impostiamo una regola per consentire esplicitamente sarà negata.

Utilizzeremo anche Firewall Builder per implementare la configurazione NAT sul firewall.

NAT sorgente per tutto il traffico interno (10.0.0.0/24) attraverso il firewall destinato a qualsiasi indirizzo Internet cambiando l’indirizzo IP sorgente con l’indirizzo IP dell’interfaccia esterna (Ethernet0/0).
NAT di destinazione per il traffico dall’indirizzo IP esterno (198.51.100.25), il server SMTP relay esterno, in arrivo all’interfaccia esterna con la porta di destinazione TCP 25 (SMTP) e inoltrarlo a un Server Email interno (10.0.0.25).

NOTA

In questo come fare utilizziamo un ASA 5505 che esegue ASA OS v8.3. Alcuna della sintassi dei comandi, specialmente per nat, è diversa per le versioni precedenti di ASA OS, ma non devi preoccuparti di questo poiché Firewall Builder genera automaticamente i comandi di configurazione corretti in base alla versione impostata per il firewall.

Passo 1: Creare Oggetti di Rete

Inizieremo creando gli oggetti che verranno utilizzati nelle regole. Firewall Builder include centinaia di oggetti predefiniti, inclusi la maggior parte dei protocolli standard, quindi per implementare le regole sopra dovremo solo creare gli oggetti specifici per la nostra rete. Per le nostre regole questo significa che dobbiamo creare oggetti per la rete interna 10.0.0.0/24, per il Server Email interno (10.0.0.25) e per il server SMTP relay esterno con un indirizzo IP di 198.51.100.25.

Creare un Nuovo Oggetto di Rete IP

Per creare l’oggetto che rappresenterà la nostra rete interna 10.0.0.0/24 nel riquadro a sinistra, fai doppio clic sulla cartella etichettata Oggetti per espanderla. Fai clic con il tasto destro sulla cartella chiamata Reti e seleziona “Nuova Rete”. Questo crea un nuovo oggetto di rete. Nella parte inferiore dello schermo, chiamata Pannello dell’Editor, puoi modificare le proprietà di questo oggetto.

Cambia il nome dell’oggetto in qualcosa che corrisponda alla funzione, in questo esempio lo chiameremo “Rete Interna” per rappresentare gli indirizzi IP LAN locali. L’indirizzo è impostato su 10.0.0.0 e la subnet mask è 255.255.255.0.

NOTA: Quando modifichi gli attributi di un oggetto non ci sono pulsanti Applica o Invia. Una volta che modifichi un attributo, non appena ti allontani dal campo che stavi modificando, la modifica avrà effetto immediato.

Creare un Nuovo Oggetto Indirizzo IP

Ripeti questo processo per creare un oggetto che rappresenterà il server SMTP Relay che verrà utilizzato nella regola #2. Vai all’albero degli oggetti e fai clic con il tasto destro sulla cartella Indirizzi e seleziona Nuovo Indirizzo. Nel Pannello dell’Editor cambia il nome dell’oggetto in “SMTP Relay” e imposta l’indirizzo IP su 198.51.100.25.

Ripeti i passaggi sopra per creare un nuovo oggetto Indirizzo per rappresentare il Server Email interno (10.0.0.25). Dopo aver terminato dovresti vedere due oggetti nella cartella di sistema Indirizzi nell’albero degli oggetti.

Passo 2: Definire il Firewall

Per creare un oggetto firewall che rappresenti il tuo Cisco ASA fai clic sull’icona “Crea nuovo firewall” nella finestra principale di Firewall Builder. Questo avvierà una procedura guidata che ti guiderà nella creazione del tuo oggetto firewall.

Inserisci un nome per l’oggetto firewall, in questo esempio utilizzeremo asa-1. Cambia il menu a discesa per il software in esecuzione sul firewall in “Cisco ASA (PIX)”.

Fai clic sul pulsante Avanti > per continuare la procedura guidata.

Quando crei un firewall in Firewall Builder hai la possibilità di configurare le interfacce manualmente, oppure puoi utilizzare la scoperta SNMP se hai SNMP abilitato sul tuo router e hai accesso a una stringa di comunità in sola lettura o lettura-scrittura. Per questo esempio configureremo manualmente le interfacce del router.

Fai clic sul pulsante Avanti > per continuare al passaggio successivo.

Il firewall che crei in Firewall Builder deve corrispondere al firewall Cisco ASA o PIX su cui desideri implementare le liste di accesso. Questo significa che i nomi delle interfacce e gli indirizzi IP nell’oggetto firewall che stai creando devono corrispondere esattamente a ciò che è configurato sull’ASA o PIX.

Fai clic sull’icona verde per aggiungere una nuova interfaccia al firewall. Inserisci il nome dell’interfaccia esattamente come appare nella riga di comando dell’ASA o PIX quando esegui il comando “show interface”. Nel nostro esempio le interfacce sono Ethernet0/0 fino a Ethernet0/7, ma utilizzeremo solo le interfacce Ethernet0/0 ed Ethernet0/1.

Imposta il nome dell’interfaccia su Ethernet0/0 e imposta l’etichetta su esterno. Fai clic sul pulsante Aggiungi indirizzo e imposta l’indirizzo IP su 192.0.2.1 con una subnet mask di 255.255.255.240.

Fai clic sull’icona verde per aggiungere un’altra interfaccia al firewall. Inserisci le informazioni nella procedura guidata per abbinare la seconda interfaccia come segue:

Fai clic sul pulsante Avanti >.

Firewall Builder imposterà automaticamente il livello di sicurezza dell’interfaccia in base all’etichetta dell’interfaccia e all’indirizzo IP. L’interfaccia esterna è impostata su livello di sicurezza 0 e l’interfaccia interna è impostata su livello di sicurezza 100.

Fai clic sul pulsante Fine per creare l’oggetto firewall.

Dopo aver creato l’oggetto firewall che rappresenta l’ASA o PIX, l’oggetto firewall verrà visualizzato nell’albero degli oggetti sul lato sinistro. L’oggetto Politica, che è dove vengono configurate le regole delle liste di accesso, si apre automaticamente nella finestra principale.

Firewall Builder utilizza il concetto di Zone di Rete per determinare la topologia di rete al fine di creare correttamente le regole. Ogni interfaccia del firewall ha una corrispondente Zona di Rete che deve essere impostata. La Zona di Rete rappresenta l’insieme di reti IP che sarebbero la fonte del traffico in arrivo a un’interfaccia.

Ad esempio, se utilizzi 10.0.0.0/8 per la tua rete interna, l’interfaccia “inside” dovrebbe avere la sua Zona di Rete impostata su un oggetto che rappresenta 10.0.0.0/8. Le Zone di Rete possono essere un oggetto di rete o un oggetto di gruppo che include più oggetti di rete. Un esempio di quando utilizzeresti un oggetto di gruppo è se la tua rete interna utilizzasse sia 10.0.0.0/8 che 172.16.0.0/16. In questo caso creeresti un oggetto di gruppo che includesse oggetti di rete per entrambe queste reti IP e utilizzeresti quell’oggetto di gruppo come Zona di Rete per la tua interfaccia “inside”.

Per l’interfaccia “outside” di solito imposterai la sua Zona di Rete su “Qualsiasi”, che include tutte le reti IP che non sono associate a nessun’altra interfaccia. Imposta la Zona di Rete facendo doppio clic sull’oggetto interfaccia del firewall e selezionando la Zona di Rete dall’elenco a discesa.

In questo esempio imposteremo la Zona di Rete per l’interfaccia “outside” Ethernet0/0 su “Qualsiasi” e la Zona di Rete per l’interfaccia “inside” Ethernet0/1 su “net-10.0.0.0” come mostrato di seguito.

NOTA: Le Zone di Rete utilizzate sopra sono specifiche per questo esempio. Se hai indirizzi IP e reti diversi in uso nel tuo ambiente di rete, potresti dover selezionare valori di Zona di Rete diversi.

Ora che il firewall ASA è pronto per la configurazione, prima di procedere dovremmo salvare il nostro file di dati che contiene il nuovo oggetto firewall che abbiamo appena creato. Fai questo andando su File -> Salva con nome.