Usando o Firewall Builder Para Configurar Cisco ASA & PIX

Autor: Mike Horn
http://www.fwbuilder.org

O Firewall Builder é uma GUI de configuração e gerenciamento de firewall que suporta a configuração de uma ampla gama de firewalls a partir de uma única aplicação. Os firewalls suportados incluem Linux iptables, BSD pf, Cisco ASA/PIX, listas de acesso de roteadores Cisco e muitos mais. A lista completa de plataformas suportadas, juntamente com pacotes binários para download e código fonte, pode ser encontrada em http://www.fwbuilder.org.

Este tutorial é o segundo de uma série de artigos que percorrem os passos básicos de uso do Firewall Builder para configurar cada uma das plataformas de firewall suportadas. Neste tutorial, configuraremos Listas de Controle de Acesso (ACL) em um firewall Cisco ASA.

O diagrama abaixo mostra uma configuração simples de firewall com 2 interfaces baseada em um Cisco ASA 5505, com o firewall atuando como um gateway para a Internet para uma rede LAN privada.

Usaremos o Firewall Builder para implementar as seguintes regras básicas como listas de acesso no firewall.

Permitir tráfego interno (10.0.0.0/24) através do firewall para qualquer endereço da Internet para os protocolos HTTP e HTTPS
Permitir tráfego interno do Servidor de Email (10.0.0.25) através do firewall para um endereço IP específico (198.51.100.25) para o protocolo SMTP. Este servidor externo está atuando como um relay de email externo.
Permitir SMTP de entrada do endereço IP externo (198.51.100.25) para o Servidor de Email interno (10.0.0.25).
Permitir tráfego interno (10.0.0.0/24) para a interface interna do firewall (Ethernet0/1) para o protocolo SSH.

Note que as listas de acesso do Cisco ASA e PIX têm um negação implícita de tudo no final de cada lista de acesso, então qualquer coisa que não configurarmos uma regra para permitir explicitamente será negada.

Usaremos também o Firewall Builder para implementar a configuração de NAT no firewall.

NAT de origem para todo o tráfego interno (10.0.0.0/24) através do firewall destinado a qualquer endereço da Internet, mudando o IP de origem para o endereço IP da interface externa (Ethernet0/0).
NAT de destino para o tráfego do endereço IP externo (198.51.100.25), o servidor de relay SMTP externo, vindo para a interface externa com a porta de destino TCP 25 (SMTP) e encaminhar isso para um Servidor de Email interno (10.0.0.25).

NOTA

Neste tutorial, usamos um ASA 5505 rodando ASA OS v8.3. Algumas das sintaxes de comando, especialmente para NAT, são diferentes para versões anteriores do ASA OS, mas você não precisa se preocupar com isso, pois o Firewall Builder gera automaticamente os comandos de configuração corretos com base na versão definida para o firewall.

Passo 1: Criar Objetos de Rede

Vamos começar criando os objetos que serão usados nas regras. O Firewall Builder inclui centenas de objetos pré-definidos, incluindo a maioria dos protocolos padrão, então para implementar as regras acima, precisaremos apenas criar os objetos que são específicos para nossa rede. Para nossas regras, isso significa que precisamos criar objetos para a rede interna 10.0.0.0/24, para o Servidor de Email interno (10.0.0.25) e para o servidor de relay SMTP externo com um endereço IP de 198.51.100.25.

Criar um Novo Objeto de Rede IP

Para criar o objeto que representará nossa rede interna 10.0.0.0/24, no painel à esquerda, clique duas vezes na pasta rotulada Objetos para expandi-la. Clique com o botão direito na pasta chamada Redes e selecione “Nova Rede”. Isso cria um novo objeto de rede. Na parte inferior da sua tela, chamada Painel do Editor, você pode modificar as propriedades deste objeto.

Mude o nome do objeto para algo que corresponda à função; neste exemplo, vamos chamá-lo de “Rede Interna” para representar os endereços IP da LAN local. O endereço é definido como 10.0.0.0 e a máscara de rede é 255.255.255.0.

NOTA: Ao editar os atributos de um objeto, não há botão Aplicar ou Enviar. Assim que você editar um atributo, assim que se afastar do campo que estava editando, a alteração terá efeito imediatamente.

Criar um Novo Objeto de Endereço IP

Repita este processo para criar um objeto que representará o servidor de relay SMTP que será usado na regra #2. Vá até a árvore de objetos, clique com o botão direito na pasta Endereços e selecione Novo Endereço. No Painel do Editor, mude o nome do objeto para “Relay SMTP” e defina o endereço IP como 198.51.100.25.

Repita os passos acima para criar um novo objeto de Endereço para representar o Servidor de Email interno (10.0.0.25). Depois de terminar, você deve ver dois objetos na pasta do sistema Endereços na árvore de objetos.

Passo 2: Definir O Firewall

Para criar um objeto de firewall que represente seu Cisco ASA, clique no ícone “Criar novo firewall” na janela principal do Firewall Builder. Isso iniciará um assistente que o guiará na criação do seu objeto de firewall.

Digite um nome para o objeto de firewall; neste exemplo, usaremos asa-1. Mude o menu suspenso para o software que está rodando no firewall para “Cisco ASA (PIX)”.

Clique no botão Próximo > para continuar o assistente.

Ao criar um firewall no Firewall Builder, você tem a opção de configurar as interfaces manualmente ou pode usar a descoberta SNMP se você tiver o SNMP habilitado no seu roteador e tiver acesso a uma string de comunidade Somente Leitura ou Leitura e Gravação. Para este exemplo, vamos configurar as interfaces do roteador manualmente.

Clique no botão Próximo > para continuar para o próximo passo.

O firewall que você cria no Firewall Builder precisa corresponder ao firewall Cisco ASA ou PIX no qual você deseja implantar as listas de acesso. Isso significa que os nomes das interfaces e endereços IP no objeto de firewall que você está criando devem corresponder exatamente ao que está configurado no ASA ou PIX.

Clique no ícone verde para adicionar uma nova interface ao firewall. Digite o nome da interface exatamente como é mostrado na linha de comando do ASA ou PIX quando você executa o comando “show interface”. No nosso exemplo, as interfaces são Ethernet0/0 até Ethernet0/7, mas vamos usar apenas as interfaces Ethernet0/0 e Ethernet0/1.

Defina o nome da interface como Ethernet0/0 e defina o rótulo como externo. Clique no botão Adicionar endereço e defina o endereço IP como 192.0.2.1 com uma máscara de rede de 255.255.255.240.

Clique no ícone verde para adicionar outra interface ao firewall. Insira as informações no assistente para corresponder à segunda interface da seguinte forma:

Clique no botão Próximo >.

O Firewall Builder definirá automaticamente o nível de segurança da interface com base no rótulo da interface e no endereço IP. A interface externa é definida como nível de segurança 0 e a interface interna é definida como nível de segurança 100.

Clique no botão Concluir para criar o objeto de firewall.

Depois de criar o objeto de firewall representando o ASA ou PIX, o objeto de firewall será exibido na árvore de objetos no lado esquerdo. O objeto de Política, que é onde as regras da lista de acesso são configuradas, é aberto automaticamente na janela principal.

O Firewall Builder usa o conceito de Zonas de Rede para determinar a topologia da rede a fim de criar regras corretamente. Cada interface de firewall tem uma Zona de Rede correspondente que deve ser definida. A Zona de Rede representa o conjunto de redes IP que seriam a fonte do tráfego que chega a uma interface.

Por exemplo, se você usar 10.0.0.0/8 para sua rede interna, a interface “interna” deve ter sua Zona de Rede definida para um objeto que represente 10.0.0.0/8. As Zonas de Rede podem ser um objeto de Rede ou um objeto de grupo que inclui vários objetos de Rede. Um exemplo de quando você usaria um objeto de Grupo é se sua rede interna usasse tanto 10.0.0.0/8 quanto 172.16.0.0/16. Nesse caso, você criaria um objeto de Grupo que incluísse objetos de rede para ambas essas redes IP e usaria esse objeto de Grupo como a Zona de Rede da sua interface “interna”.

Para a interface “externa”, você normalmente definirá sua Zona de Rede como “Qualquer”, que é todas as redes IP que não estão associadas a nenhuma outra interface. Defina a Zona de Rede clicando duas vezes no objeto da interface do firewall e selecionando a Zona de Rede na lista suspensa.

Neste exemplo, vamos definir a Zona de Rede para a interface “externa” Ethernet0/0 como “Qualquer” e a Zona de Rede para a interface “interna” Ethernet0/1 como “net-10.0.0.0”, conforme mostrado abaixo.

NOTA: As Zonas de Rede usadas acima são especificamente para este exemplo. Se você tiver endereços IP e redes diferentes em uso em seu ambiente de rede, pode ser necessário selecionar valores diferentes para a Zona de Rede.

Agora que o firewall ASA está pronto para configuração, antes de prosseguir, devemos salvar nosso arquivo de dados que contém o novo objeto de firewall que acabamos de criar. Faça isso indo até o menu Arquivo -> Salvar Como. Escolha um nome e um local para salvar este arquivo.