Predelavani BSD do Cisco ASA.

[Špeta Marek]

Zdravim predelavam konfiguraci ze sw firewallu do Cisco ASA a jelikož jsem samouk a BSD jsem predtim ani nevidel z vlaku a google nepomaha mam na Vas dotaz.

Mam tyto interface:

Kód:

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
         tunnel inet aaa.aaaa.aaa.aaa --> bbb.bbb.bbb.bbb
         inet ccc.ccc.ccc.ccc --> ddd.ddd.ddd.ddd netmask 0xffffff00
        options=1<ACCEPT_REV_ETHIP_VER>

tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
          inet x.x.x.x --> y.y.y.y netmask 0xffffffff
        Opened by PID 14987

Ja nasel jen na Googlu ze gif je ip tunnel, ale o tun interface jsem nenasel nic? Jak byste to implementovali do Cisca?

Posledni vec, v NAT zapisu nerozumim temto radkum:

Kód:

map xl3 from aaa.aaa.aaa.aaa/24 ! to bbb.bbb.bbb.bbb/13 -> ccc.ccc.ccc.ccc/32
 map xl3 from ddd.ddd.ddd.ddd/24 to any -> eee.eee.eee.eee/32 portmap tcp/udp 20001:30000

Jakou logiku mam to prvni from ! to a jakou to druhe bez !.

Diky.

[Smitka]

Ahoj,

už je to delší doba a odpovědi asi už znáš... Ale kdyby přece:

a) gif je IPIP tunel (0x04) - v některých ohledech je podobný protokolu GRE (http://packetlife.net/blog/2012/feb/...pip-tunneling/), ASA (narozdíl od klasického ISR) bohužel umí tunelovat jen přes IPsec (přestože některé další funkce jiné tunely využívají - např. WCCP - jen prostě nejsou uživateli přístupné)

b) tun může využívat více produktů, ale předpokládal bych, že je to OpenVPN (lze ověřit ve výpisu procesů podle PID)

c) ! je negace, takže pravděpodobně brání natování mezi nějakými 2 interními sítěmi - z A do netu (C) natuj, z A do B nenatuj

ASA by měla mít v síti roli dodatkového bezpečnostního zařízení - není určena, aby zastupovala router, ale aby ho doplňovala (a také se i trohu jinak chová - např. NAT má přednost před routovací tabulkou).

Otázkou je, jaká je motivace nahradit současý firewall za ASA a za jaký model. Jestli by lépe nesposloužila jiná krabička třeba:
- Juniper SRX - je také založený na BSD a má blíže k routeru než ASA, umí IPIP (openVPN samozřejmě ne)
- Mikrotik - nemá zase tolik funkcí, ale umí IPIP, OpenVPN, firewall jde docela dost nastavit

[Špeta Marek]

Ahoj,
ty jo ty ses machr, normalne mi nikde na zahranicnich forech tohle nikdo nedokazal odpovedet (Cisco fora, nedivim se ) a hlavne to neslo nikde najit v dokumentacich, navodech. Odpovedi jsem si tak nejak musel odvodit ve vysledku. Proc Cisco? Protoze na to mame slevu Pro priste mam ale presnejsi informace, diky.

[Smitka]

Cisco u mě má zelenou, jen zrovna s ASA se musí zacházet tak trošku jinak, nefunguje všechno tak, jak je člověk zvyklý...

Jen pro zajímavost, jaký tam máte model? U levných ASA 5505 je třeba si dát také pozor na licencované počty uživatelů. Pro nenáročné sitě se dá ASA použít i samostatná, pokud je komplikovanější zapojení a je třeba řešit nějaký routing, tak se vyplatí mít opravdový router + asa na doplňkovou bezpečnost a VPNky. Pro menší standardní sítě je také vcelku dobrá ISA500. Jako jednokrabičkové řešení je dobrý i ten Juniper, který je za podobné peníze (mimo malé ASA 5505).

[Špeta Marek]

5515 myslim s plus nebo nejaky pridavkem.