Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GUI (web)
ÍNDICE
1 Introdução e Ferramentas
As ferramentas para gerenciamento do Cisco ASA são:
Command-line interface (CLI): similar ao IOS.
ASA Security Device Manager (ASDM): interface gráfica já incluída no ASA.
Cisco Security Manager (CSM): software de maior porte que gerenciar diversos
dispositivos de rede como roteadores, switches e dispositivos de segurança como o ASA.
Em um ASA novo (zerado) sem endereço IP configurado você precisará conectar via console
portof the ASA. O cabo é o mesmo que utilizamos nos roteadores e switches, portanto você vai
precisar de uma porta serial ou um adaptador USB para serial do lado do seu laptop.
Via CLI temos o ROM Monitor, EXEC mode (de usuário e privilegiado), modo de configuração
global, modo de configuração de interface e assim vai, similar aos roteadores e switches.
A navegação é por contexto, assim como já estamos acostumados com o CLI, temos os
comandos enable, exit, Ctrl+Z, etc. Uma diferença importante notar é que você pode usar a
letra Q (quit) para interromper a rolagem através das páginas de saída de uma página de cada
vez.
O ASDM é uma ferramenta gráfica via Web que vem disponível nos equipamentos da família
ASA Firewall. Você pode se conectar até cinco diferentes firewalls com o ASDM e vamos utilizá-
lo em nossas práticas.
2 Configurações do GNS3
Você pode utilizar o GNS3 para simular o ASA em seu computador ou laptop. O recomendado é
utilizar o Cisco ASA 5520 with IOS 8.4.2 and ASDM 6.47. O funcionamento no GNS3 é
relativamente simples, basta seguir os passos a seguir.
Agora no painel de dispositivos insira um ASA e inicie o dispositivo. Após inicializado você deve
entrar com a chave de ativação do firewall com os comandos abaixo.
conf t
activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5
! ou activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6
wr
exit
Para configurar a interface conectada ao switch no ASA utilize o scritp abaixo (considerei o ASA
com IP 10.0.0.1 e meu computador 10.0.0.10/24):
config t
int gi 0
ip address 10.0.0.1 255.255.255.0
nameif gerenciamento
no shut
end
wr
Teste a conectividade com seu computador pingando o IP configurado na loopback que conecta
a núvem ao ASA:
ciscoasa#ping 10.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa#
Se você não tem o ASDM na memória flash precisa copiá-lo com o comando “copy tftp: flash:”
(mesmo princípio do roteador), porém primeiro ative seu servidor TFTP no computador e
garanta que seu firewall permita o acesso ou desative-o.
Uma vez copiado o arquivo ASDM-647.bin na flash execute os seguintes comandos para
permitir que o ASA seja acessado via ASDM:
ciscoasa#conf t
ciscoasa(config)#ASDM image flash:ASDM-647.bin
ciscoasa(config)#http server enable
ciscoasa(config)#http 10.0.0.10 255.255.255.255 gerenciamento
ciscoasa(config)#username dltec password dltec123 privilege 15
ciscoasa(config)#end
ciscoasa#wr
Building configuration...
Cryptochecksum: ca21aef9 c95a02fe cae19878 bbd7931c
Para acessar o ASDM entre em seu browser e digite https://10.10.10.1. Clique na opção
Install ASDM Launcher para fazer o download e instalar o aplicativo ASDM a partir do ASA.
Após instalar o aplicativo você poderá acessar o ASA via interface gráfica.
Depois será mostrada uma tela para entrar com o IP, usuárion e senha de acesso ao ASA.
O ASA emulado no GNS3 pode algumas vezes para de responder e parecer que travou, por isso
é importante sempre salvar as configurações e ter paciência, pois ele volta a responder após
um tempo relativamente curto.
Em ASAs reais, não simulados, quando ele está zerado um guia de configuração parecido com o
modo setup dos roteadores será apresentado. Ele é simples e útil para configuração inicial e
proporcionar o acesso via Web.
Vamos abaixo indicar os caminhos para configuração manual dos principais itens:
Interfaces: Configuration > Device Setup > Interfaces
Servidor DHCP: Configuration > Device Management > DHCP > DHCP Server
Roteamento básico: Configuration > Device setup > Routing
NAT e PAT: Configuration > Firewall > NAT Rules
Regras de firewall: Configuration > Firewall > Access Rules
Para testes temos a opção Monitoring e também o Packet Tracer no menu Tools, não é o
programa Packet Tracer que simula redes é uma ferramenta do ASDM. Essa ferramenta do
ASDM permite que você verifique se determinado tráfego vai ser permitido ou bloqueado pelo
firewall.
Esse teste pode ser feito pela CLI utilizando o comando abaixo:
Nesse teste estamos verificando se o pacote gerado pela origem 10.0.0.101 com porta 1065
será encaminhado para o destino 1.2.3.4 porta de destino 80, ou seja, se o computador
10.0.0.101 acessa o servidor de Web 1.2.3.4. Veja o resultado do teste feito pelo ASDM.
servidores estarão expostos na Internet. Essa configuração é do ASA 5505 que possui portas
como um switch.
ASA-FW(config)#configure terminal
ASA-FW(config)#
! Vamos começar com a Switched Virtual Interface (SVI – camada-3)
ASA-FW(config)#interface Vlan1
! Ativando a interface
ASA-FW(config-if)#no shutdown
! Adicionando a descrição opcional
ASA-FW(config-if)#description Conectada à DMZ
! Dando um nome à interface
ASA-FW(config-if)#nameif dmz
! Definindo o nível de segurança (security level)
ASA-FW(config-if)#security-level 50
! Configurando o endereço IP
ASA-FW(config-if)#ip address 192.168.1.1 255.255.255.0
ASA-FW(config-if)#exit
! Agora vamos configurar as demais interfaces VLAN
ASA-FW(config)#interface Vlan2
ASA-FW(config-if)#no shutdown
ASA-FW(config-if)#nameif redeinterna
ASA-FW(config-if)#security-level 100
ASA-FW(config-if)#ip address 10.0.0.1 255.255.255.0
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Vlan4
ASA-FW(config-if)#no shutdown
ASA-FW(config-if)#no forward interface Vlan2
ASA-FW(config-if)#nameif Internet
ASA-FW(config-if)#security-level 0
ASA-FW(config-if)#ip address 200.200.200.2 255.255.255.240
ASA-FW(config-if)#exit
ASA-FW(config)#
! Vamos agora vincular as interfaces às VLANs criadas
ASA-FW(config)#interface Ethernet0/1
ASA-FW(config-if)#switchport access vlan 4
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/2
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/3
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/4
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/5
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/6
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/7
Os demais modelos de ASA tem portas como as de um roteador, ou seja, não suportam as SVIs
você pode criar VLANs de forma similar ao que fizemos nos roteadores com sub-interfaces,
porém a VLAN Untagged fica na interface física e as subinterfaces levan as demais VLANs, ou
seja, a de gerenciamento dica na interface física. Veja exemplo abaixo.
interface GigabitEthernet0
nameif principal
security-level 100
ip address 10.0.0.1 255.255.255.0
!
interface GigabitEthernet0.2
vlan 2
nameif redeinterna1
security-level 100
Agora vamos configurar o servidor DHCP para a rede corporativa (interface redeinterna).
Para configurar o NAT/PAT utilizamos os comandos abaixo. Primeiro vamos criar um objeto que
se referencie à rede corporativa 10.0.0.0/24.
Entre parenteses temos a rede inside (interface com nome redeinterna) e outside (interface
com nome Internet), conforme configuramos anteriormente.
Para criar regras adicionais ao firewall via CLI vamos a um exemplo prático abaixo, você vai
notar que a configuração é um pouco diferente do roteador, porém com uma lógica mais
simples.
Note que as regras são similares a uma ACL IP nomeada estendida, porém não é aplicada à
Interface e sim vinculada diretamente em modo de configuração global através do nome da
interface.
A regra criada proibe acesso Telnet e HTTP da rede corporativa em direção à Internet, pois o in
e out aqui tem o mesmo significado que nos roteadores, portanto o in em uma interface LAN
pega o tráfego que está saindo da LAN em direção a outra interface.