[FIREWALL ASA] – BàI 1: Cấu hình cơ bản

8812

Người viết bài : Tuấn
Tham khảo ebook:
[Ebook] Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

Sơ đồ:

Mô tả :
Bài lab này sẽ hướng dẫn thực tập một số kỹ năng làm quen với thiết bị firewall asa của cisco. Đầu tiên là chúng ta sẽ tìm hiểu về version của ios. Cấu hình cơ bản như: đặt hostname, cấu hình password, cấu hình ip cho interface trên thiết bị, security-level( cấp độ bảo mật).Cấu hình telnet, ssh cho asa từ xa. Ngoài ra sẽ tiến hành backup ios cho asa, load lại ios khi bị mất, recovery password cho thiết bị firewall asa.

Thực hiện:
Phần 1: kiểm tra Licenses
• Kiểm tra version của thiết bị firewall asa
Kiểm tra:

Qua command show version, chúng ta đã thấy được các thông tin về thiết bị asa, bao gồm : ios của asa, hardware asa, các interface vật lí của asa, các đặc điểm đã được active bởi license key, ngày giờ chỉnh sửa cuối cùng của file cấu hình.

[nextpage title=”Cấu hình cơ bản”]

Phần 2: Cấu hình cơ bản
• Đặt hostname cho asa là ASA.
• Cấu hình password cho asa.
• Cấu hình enable interface, cấu hình IP cho interface, name cho interface.
• Cấu hình security-level trên interface.

Cấu hình:
Đầu tiên, ta đặt hostname cho thiết bị:

Trên Cisco ASA, câu lệnh “hostname” được sử dụng để đặt tên cho asa. Tên của asa sẽ giúp cho công việc quản lý asa được dễ dàng hơn và hiệu quả hơn.
Để cấu hình password cho asa, chúng ta dùng command:

Sử dụng lệnh enable password để thiết lập mật khẩu truy cập cho Privilege mode. Điều này thực sự rất quan trọng vì trong Privilege mode, bạn có thể tạo ra nhiều thay đổi cấu hình của asa nên bạn cần giới hạn chỉ để những người biết được mật khẩu mới có thể đăng nhập vào ASA để cấu hình cho thiết bị.
Tiếp theo, ta sẽ enable interface, ta thực hiện như sau:

Đối với các dòng ASA 5505 và ASA 5510 thì sẽ có 4 cổng fastEthernet (Ethernet0/0 – Ethernet0/3) và một interface quản lí ( management interface): Management0/0.

Trong khi đó đối với các dòng ASA 5520 và ASA 5540 sẽ có 4 cổng Gigabit Ethernet (GigabitEthernet0/0–GigabitEthernet0/3) và một interface quản lí (management interface (Management0/0)).Mặc định các interface sẽ ở trạng thái shutdown, để enable các interface chúng ta sẽ sử dụng lên no shutdown.

Để đặt IP, ta vào trong cổng G0/0 và cấu hình địa chỉ ip là 192.168.1.1/24, ta làm như sau:

Địa chỉ IP trên cổng giúp router giao tiếp mạng với các thiết bị khác bằng giao thức truyền tải IP.
Nếu IP trên cổng được cấp bởi 1 dhcp server thì ta có thể làm như sau:

Câu lệnh “ip address dhcp setroute” sẽ giúp chúng ta nhận được ip từ dhcp server.
Để cấu hình tên cho cổng, chúng ta sẽ dùng lệnh:

Câu lệnh “nameif” dùng để đặt tên cho interface, tên của interface sẽ dùng để cấu hình các đặc tinh sau này như NAT, PAT, access-list, …..
Tiếp theo chúng ta sẽ cấu hình cấp độ bảo mật ( security-level) cho các interface, ta thực hiện như sau:

ASA cho phép chúng ta đinh nghĩa cấp độ bảo mật trên mỗi interface. Cấp độ bảo mật càng cao, thì độ tin cậy càng lớn và ngược lại. Cấp độ bảo mật có giá trị từ 0 – 100. Mặc định thì vùng outside (vùng nối với nơi ít tin cậy như internet,..) sẽ có security-level là 0 và ngược lại những vùng inside (mạng nội bộ) sẽ có cấp độ bảo mật cao nhất là 100.
Kiểm tra:
Ta kiểm tra địa chỉ IP trên cổng bằng cách sử dụng lệnh “show interface ip brief“.

Để kiểm tra 1 interface cụ thể, ta sử dụng lệnh “show interface GigabitEthernet0/0” .

Kiểm tra:
Chúng ta sẽ tiến hành kiểm tra kết nối giữa firewall asa và máy tinh bằng lệnh “ping” .

[nextpage title=”Recovery ios”]

Phần 3: Recovery ios khi asa bị mất cấu hình .
Khi bị mất ios hoặc do một tình huống nào khác mà không thể load vào được ios của asa thì chúng ta có thể dùng ROMMON mode kết hợp với tftp server để load ios cho firewall asa.
• Yêu cầu 1: đặt địa chỉ IP cho asa và tftp server.
• Yêu cầu 2: cài đặt cổng kết nối tới tftp server.
• Yêu cầu 3: chuẩn bị file image sẽ được load vào asa.

Cấu hình:
Đầu tiên chúng ta sẽ vào mode ROMMON và cấu hình các thông số trong cisco asa.

Để kiểm tra các lệnh đã cấu hình phái trên, chúng ta dùng lệnh “set” và để bắt đầu tiến trình load ios vào asa thì ta dùng lệnh “tftpnld” .

Lưu ý: Lúc này image vẫn chưa được lưu vào flash, để tiến hành kiểm tra, ta dùng lệnh “show flash” .

Để file image được lưu vào trong flash, chúng ta hãy qua bước số 4, image upgrade ios.

[nextpage title=”Cập nhật Image & Recovery Password”]Phần 4: Cập nhật image cho thiết bị firewall asa
Chúng ta có thể có nhiều cách cập nhật file image mới cho firewall asa thông qua tftp server, ftp server hoặc http … Nhưng ở đây chúng ta sẽ tìm hiểu cách thức cập nhật thông qua tftp server.
• Yêu cầu 1: chuẩn bị image cho tftp server.
• Yêu cầu 2: kiểm tra kết nối giữa cisco asa và tftp server.

Cấu hình:
Đầu tiên chúng ta sẽ kiểm tra flash hiện thời có các file nào và dung lượng còn bao nhiêu thông qua command “show flash”.

Sau kiểm tra flash, chúng ta sẽ tiếp tục tiến hành load image vào thiết bị firewall asa thông qua tftp server.

Kiểm tra:
Để kiểm tra file image đã được load vào flash chưa, chúng ta sẽ thực hiện command “show flash: “

Phần 5: Recovery password
Yêu cầu 1: thiết lập kết nối với asa bằng console
Yêu cầu 2: reload asa
– Tiến hành tắt firewall asa và mở lại.
Yêu cầu 3: break vào mode rommon của asa
– Khi asa reboot trở lại, các thông điệp sẽ lần lượt xuất hiện trên màn hình, ta sẽ ấn ESC khi thấy xuất hiện dòng “Use BREAK or ESC to interrupt boot”.
Yêu cầu 4: thay đổi cấu hình trên thanh ghi tại mode rommon.
Yêu cầu 5: Sau khi đã set up xong các cấu hình thanh ghi, chúng ta sẽ boot lại asa.
Yêu cầu 6: Truy cập vào priviledge mode và set up lại password, lúc này password đã trở về mặc định ban đầu.
Yêu cầu 7: load các cấu hình đã lưu trong file startup-config ( nếu có).
Yêu cầu 8: tiến hành cài đặt lại password mới.
Yêu cầu 9: restore lại giá trị thanh ghi ban đầu.
Yêu cầu 10: lưu tất cả cấu hình ở file running-config vào file startup-config.

Cấu hình:
Đầu tiên chúng ta sẽ tắt nguồn và bật lại cho firewall cisco asa, sau khi xuất hiện dòng chữ “Use BREAK or ESC to interrupt boot” chúng ta sẽ nhấn ESC để vào mode ROMMON để cấu hình các bước tiếp theo .

Chúng ta sẽ sử dụng câu lệnh “confreg” để cấu hình các giá trị của thanh ghi(register) và một số options khác .

Ngoại trừ disable system configuration, các giá trị còn lại chúng ta sẽ để mặc định. Hãy ghi nhớ lại giá trị cấu hình của thanh ghi để phục vụ cho việc restore.

Truy cập vào mode priviledge của asa và thiết lập lại password, với password mặc định.

Copy các cấu hình trong file startup-config vào file running-config.

Cài đặt lại password mới cho asa.

Cấu hình restore lại thanh ghi ban đầu.

Lưu tất cả những gì đã cấu hình nãy giờ vào file startup-config.

[nextpage title=”Cấu hình Telnet & SSH”]

Phần 6 : Cấu hình telnet
Yêu cầu 1: các máy telnet tới asa phải nằm trong miền inside hoặc dmz, nếu các máy ở vùng outside muốn telnet vào asa thì phải có hỗ trợ ipsec tunnel.
Yêu cầu 2: đặt password telnet cho asa.
Yêu cầu 3: các máy telnet vào asa phải có hỗ trợ giao thức telnet hoặc sử dụng chương trình hỗ trợ telnet để thực hiện telnet vào asa.

Cấu hình:
Đầu tiên chúng ta sẽ cài đặt telnet cho firewall asa.

Telnet là một chương trình cho phép ta kế nối và đăng nhập vào một máy tinh từ xa(trong LAN, internet). Khi kết nối thành công, máy tinh của ta sẽ thực hiện chức năng như trạm trung gian để gửi yêu cầu đến các máy tính đầu xa. Ta có thể truy cập thông tin, thực thi chương trình và sử dụng một số tài nguyên khác ở máy tinh từ xa.

Cấu trúc của lệnh telnet:
telnet {{IP_address mask} | ipv6_address/prefix} interface}

Với IP_address mask sẽ là địa chỉ ip và subnet mask của máy (hoặc các máy) thuộc cùng một interface sẽ được phép telnet tới asa. Timeout là số phút tối đa cho 1 phiên telnet ở trạng thái idle ( timeout có giá trị từ 1 – 1440 phút).
Tiếp theo chúng ta sẽ cấu hình password cho telnet:

Cấu hình password để tăng cường tinh bảo mật cho 1 phiên (session) telnet. Tuy nhiên, khác với ssh, password của telnet sẽ không được mã hóa(encrypted) khi đi trên đường truyền.

Kiểm tra:
Để kiểm tra các máy tinh nào đang thực hiện telnet vào máy tinh, chúng ta dùng lệnh “who”.

Output là các máy hiện đang kết nối, “0” là session id và 192.168.1.2 là ip của thiết bị đang kết nối tới asa.
Để ngắt kết nối 1 phiên telnet ngày lập tức, chúng ta có thể dùng command “kill”.

Lệnh “kill ” sẽ disconnect 1 session telnet tới asa ngay lập tức.

Bước 7: Cấu hình SSH
Yêu cầu 1: tạo ra rsa key cho thiết bị asa.
Yêu cầu 2: các máy ssh tới asa phải cài đặt chương trình hỗ trợ ssh.

Cấu hình:
Đầu tiên chúng ta sẽ tạo ra rsa key cho asa:

SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền.
Tiếp theo chúng ta sẽ kiểm tra key rsa được sinh ra:

Tương tự như telnet ở trên, chúng ta sẽ cấu hình các máy nào sẽ được ssh vào asa.

Vì 1 phiên ssh được mã hóa, nên ipsec tunnel không cần phải thiết lập đối với các interface outside, nên các user thuộc interface outside vẫn có thể ssh tới asa bình thường.

Lưu ý: mặc định nếu không có hệ thống AAA thì username là pix và password là password được cài đặt bằng command “passwd”.

Cấu hình version cho ssh, chúng ta làm như sau:

Ssh có 2 version là version 1 và version 2. ASA support cho cả 2 version 1, và 2. Nhưng chúng ta nên sử dụng version 2 vì có tinh bảo mật cao hơn và mã hóa mạnh hơn.
Kiểm tra:
Để kiểm tra các session của ssh , chúng ta dùng lệnh “show ssh sessions” .

Để ngắt kết nối với một session đang ssh, chúng ta dùng lệnh “ssh disconnect ”.

Xin kết thúc bài hướng dẫn tại đây. Chúc các bạn thành công !

Đánh giá sao từ người đọc :
[ Tổng : 15 - Trung bình: 2.5 ]

1 COMMENT

  1. Hi Anh Tuấn

    Cảm ơn Anh về bài viết rất chi tiết cho anh/em mới bước vào tìm hiểu về ASA.

    Chúc Anh sức khỏe và mọi điều tốt đẹp nhất.

    Anh cũng đường quên up những bài mới nhé 🙂

LEAVE A REPLY