Cisco ASA einrichten – wichtige Befehle und Basics der Firewall – Anleitung

Kleine Befehlsreferenz und Infos um eine Cisco ASA einzurichten – HowTo

Cisco ASA einrichten kann ganz einfach sein, wenn man einige wichtige Befehle zu Hand hat, welche nötig sind um die Basics zu erledigen. Nach der Basis-Installation kann man dann über die Web-Oberfläche die ASA weiter konfigurieren. Doch auch hier möchte ich Euch einige wichtige Befehle des IOS zeigen, mit dessen Hilfe eine weitere Konfiguration möglich ist. Auch auf das Thema Lizenzierung werde ich hier kurz eingehen.

Fangen wir bei den Basics an:

Lizenzierung:
Jeder der schon einmal mit Cisco zu tun hatte, dem wird der umständliche Prozess der Lizenzierung in Erinnerung geblieben sein. Daher möchte ich Euch hier die theoretische Abfolge einer Lizenzierung zeigen!

Eine Cisco ASA Firewall ist in der Grundfunktionalität voll verwendbar. Möchte man jedoch mehr Zugriffe oder bestimmte Features nutzen, muss man diese Funktionen zusätzlich mittels einer Lizenz freischalten.

Die Lizenzen werden durch Cisco mittels eines PAK Codes  (Product Authorization Key) zur Verfügung gestellt.

 

 

Dieser Lizenzkey muss nun an die dafür vorgesehene ASA gebunden werden.

Dafür besucht man die Webseite http://www.cisco.com/go/license und legt sich dort einen User an, falls dies noch nicht geschehen ist. Danach landet man auf der Lizenzierungsseite von Cisco.

Dort gibt man nun die PAK Nummer, die Seriennummer und noch ein paar Daten zur Registrierung ein und bekommt danach einen Schlüssel erzeugt, welcher das gewünschte Feature frei schaltet.

Dieser muss nun nur noch in der Firewall eingetragen werden:

Configuration –> Device Management –> Licensing –> Activation Key

 

TIPPS und INFOS zu Lizenzierung!

1 –> vor der Version 8.3 musste eine Lizenzierung für eine Active / Failover Lösung für beide Maschinen statt finden. Seit der Version 8.3 ist dies nicht mehr nötigt! Fährt man ein Update auf die Version 8.3 werden beide angegebene Lizenzen zusammen gezählt!! D.h. im Normalfall haben ab der Version IOS Version 8.3 viele Besitzer einer ASA Firewall die doppelte Menge an Lizenzen zur Verfügung, welche eigentlich benötigt wird.

(laut Aussage von Cisco ist eine Umbuchung der Lizenzen nicht möglich – jedoch wird es dennoch ausgeführt! – Alternativ werde es auch möglich eine Failover ASA aus dem Verbund zu nehmen und mit dieser ein neues Cluster mit einer “blanken” Firewall zu bilden!)

2 –> Achtet auf die Lizenzierungsbestimmungen!
Nicht jede Lizenz ist ohne Probleme unbegrenzt erweiterbar!
Beispiel man kauft sich eine 10 User Lizenz, welche irgendwann zu klein wird und man beschließt eine 20 User Lizenz dazu zu ordern! Normalerweise würde man nun denken, es stehen nun 30 Lizenzen zur Verfügung! Das ist jedoch falsch! Denn die Lizenzen sind nur in einer bestimmten Range erweiterbar! Und so sind von den Lizenzen nun “nur”  25 Lizenzen verfügbar, da hier die Lizenzgruppe endet!! 
Größere Lizenzpakete überschreiben kleinere Lizenzpakete!
Beispiel: Man kauft eine Grundlizenz für die Nutzung von AnyConnect und stellt dann fest, der Clientless SSL Connect wäre ja auch nicht schlecht und ordert eine kleine Menge der Premium SSL Lizenzen nach um dieses Feature zu nutzen – so zählt ab der Aktivierung der Premiumlizenz diese als Hauptlizenz und die schon gekauften Cisco AnyConnect Essentials “verfallen” und werden nicht zu der Gesamtmenge an AnyConnect Lizenzen hinzugezählt!

Wie man hier gut erkennen kann ist das Thema Lizenzierung bei Cisco nicht ohne und man sollte genau kalkulieren, welche Lizenzen man benötigt.

Schritt 2: Einrichtung der Basis-Konfiguration um die Cisco ASDM zu nutzen

Auslieferungszustand:
Eine Cisco ASA besitzt im Auslieferungszustand die IP Adresse 192.168.1.1 (Subnetmask 255.255.255.0). Über das Management Interface 0/0  kann diese erreicht werden. Da auf diesem Port der DHCP Server aktiviert ist bekommt der Client automatisch eine IP Adresse zugewiesen. Auch der HTTP Server ist auf diesem Port aktiv und die Nutzung des ASDM wäre jetzt schon möglich. Dazu muss lediglich die IP Adresse über den Web-Browser aufgerufen werden. Im auslieferungszustand wäre dies die https://192.168.1.1 .

Ausnahme: Cisco ASA 5505
Da sich in dieser Firewall ein kleiner Switch befindet, können hier die Ethernet Ports 0/1 bis 0/7 (VLAN1) für die Basiskonfiguration verwendet werden. Die IP Adresse ist auch hier 192.168.1.1 (Subnetmask 255.255.255.0). Der DHCP und HTTP Server ist ebenfalls auf allen Ports aktiviert. Der Zugang an das Internet kann in der Basiskonfiguration über den Ethernet Port 0/0 (VLAN2) erfolgen. Dieser Port ist DHCP fähig und generiert aus der zugewiesenen IP Adresse automatisch die Default-Route. D.h. rein theoretisch wäre schon nach dem Einstecken eines Internetzugangs und eines Client-PCs das surfen im Internet möglich!

Bei beiden Systemen besitzt das interne Netzwerk immer das Security Level 100 und das Outside Netzwerk das Security Level 0. Von einem Netzwerkbereich mit höheren Security Level kann immer in ein Netzwerk mit niedrigerem Security Level zugegriffen werden. Da die ASA einen Stateful Packet Filter besitzt ist auch eine Kommunikation zwischen den beiden Netzen möglich, so lange die Anfrage vom sicheren Bereich gestartet wird und die Antwort das gleiche Protokoll spricht wie die Anfrage. z.B. wäre ein surfen im Internet möglich!

Häufiger “Fehler”: Der Ping zwischen zwei Netzwerkbereichen funktioniert nicht!
Dies liegt daran, dass der Stateful Packet Filter eine andere Antwort bekommt wie bei der Anfrage versendet wird.
Gesendet: ICMP req –> als Antwort: ICMP ack –> Firewall blockt!

 

Schritt 3: Die unterschiedlichen Sicherheitslevel einer ASA:

CLI Modus öffnen
Die Cisco ASA sollte sich nun wie folgt melden:

ciscoasa>

Um die verschiedenen Konfigurationen zu bearbeiten muss nun in den richtigen Sicherheitslevel gewechselt werden.

Der privileged EXEC Modus
Um dorthin zu wechseln muss der Befehl “enable” ausgeführt werden!

ciscoasa> enable
Password:

Als Standard Passwort ist im Normalfall “Cisco” hinterlegt.

Diese Modus wird danach mit einer Route gekennzeichnet:

ciscoasa#

(dieser Modus kann mit dem Befehl “disable” wieder verlassen werden!)

Um nun in den Konfigurationsmodus zu wechseln gibt man folgende Zeile ein:

ciscoasa# configure terminal
ciscoasa (config) #

(dieser Modus kann mit dem Befehl “exit” wieder verlassen werden!)

Hier können nun alle globalen Einstellungen getätigt werden.
Muss ein Interface parametrisiert werden muss man in den Konfigurationsmodus des Interfaces wechseln:

ciscoasa (config) # interface interface
Beispiel: interface management 0/0

(dieser Modus kann mit dem Befehl “exit” wieder verlassen werden!)

TIPP: Mit der Tastenkombination CTRL + Z oder “end” wird auf den EXEC Mode zurück gesprungen!

 

 

Schritt 4:  Bestandskonfiguration löschen und ASA per Hand einrichten (empfohlen)

Nicht immer macht es Sinn auf den Auslieferungszustand aufzusetzen. Daher möchte ich Euch hier kurz zeigen, wie man seine eigene Konfiguration mittels Konsole / CLI anlegen kann.

1: Zuerst die ASA ganz normal starten lassen
2: Um nun sicher zu gehen, ein sauberes System zu erhalten führen wir folgende Befehle aus:

ciscoasa# conf t

ciscoasa (config) # clear configure all

Um den Erfolg zu prüfen, kann folgender Befehl angewendet werden:

ciscoasa (config) # show running-config

 

3: Nun muss zumindest das interne Interface aktiviert und dort der HTTP Dienst gestartet werden um eine weitere Konfiguration mittels ADSM vorzunehmen.

Setzen der Basics:

Hier im Beispiel der Hostname, Domain, Passwort, Inside Interface, HTTP Dienst:

ciscoasa(config)# hostname ITler-ASA
ITler-ASA(config)# domain-name itler.net
ITler-ASA(config)# enable password cisco
ITler-ASA(config)# interface ethernet 0/1
ITler-ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default. (kann per Hand auch mittels ITler-ASA(config-if)# security-level 100 gesetzt werden!)
ITler-ASA(config-if)# ip address 10.0.1.1 255.255.255.0
ITler-ASA(config-if)# no shutdown
ITler-ASA(config-if)# http server enable
ITler-ASA(config)# http 10.0.1.0 255.255.255.0 inside
ITler-ASA(config)# wr mem

 

Fertig!!

 

4: ASDM installieren und ASDM ausführen:

Dafür ruft ihr nun die gerade konfigurierte IP über den Webbrowser auf. Der Rechner muss sich natürlich nun im Inside Netzwerk befinden! Falls noch keine weiteren Netzwerk-Komponenten vorhanden sind, welche DHCP Funktionalität bietet, muss nun die eigene Rechner-IP für das 10.0.1.X Netzwerk konfiguriert werden.

Hier im Beispiel: https://10.0.1.1/ <– Sicherheitswarnung bestätigen und ihr solltet nun zur Hauptseite geleitet werden, über welche das System installiert werden kann.

Button: “Install ASDM Launcher and Run ASDM” drücken und Installation durchführen!

Danach bekommt ihr die Anmeldemaske des Cisco ASDM Managers zu sehen:

 

Dort tragt ihr nun die IP Adresse ein und als Passwort das über die CLI gesetzte PW – das Fenster Username müsst ihr noch frei lassen!

Jetzt sollte sich die Übersichtsseite des ASDM öffnen:

Fertig!
Die Basis-Config wäre geschafft!

 

5: Weitere Schnittstellen einrichten

Dafür wechselt ihr nun auf Configuration –> Interfaces und wählt Euch dort den entsprechenden Ethernet Port aus und vergebt dort die Netzwerkdaten für Eure Konfiguration!

WICHTIG!! Je unsicherer das Netzwerk, desto niedriger sollte das Security Level sein! Das Outside Network (Internet) bekommt im Normalfall das Security Level 0!!

 

 

 

 

So, das Outside Interface ist nun auch definiert!

Hier endet nun auch diese kleine Anleitung, da es ab nun keinen Universalweg mehr gibt und die ASA nach den eigenen Wünschen angepasst werden muss!

 

TIPP! Default-Route nicht vergessen!
Anfänger vergessen gerne die Default-Route ohne die oft keine Kommunikation statt finden kann.

 

Danach DHCP Server einrichten – NAT einrichten – Zugriffe über HTTPS, SSH oder Telnet einrichten.

Wer sich noch nicht zu 100 Prozent sicher fühlt, kann auch die diversen Wizards für die weitere Einrichtung nutzen! Diese arbeiten bei der Cisco ASA sehr sauber und erzeugen keine unnötigen Einträge in der Konfiguration!

 

So, nun wünsche ich Euch noch viel Erfolg bei den ersten Konfigurationsversuchen!


Tags:

  • asa erstkonfiguration
  • cisco 5516 handbuch
  • cisco asa running config neu
  • firewall asa 5505 verwaltung
  • cisco firewall konfigurieren
Die mobile Version verlassen