ASA_Running config.txt Show 0.00MB ## ASA 세팅 ##세팅 잘못하면 시작부터 끝까지 다 망가지는 스토리텔링 구조임 ㅎㅎ ## ASA 라이센스 Key ##show version ## Unlimited, Active 가 나오면 된다. show run ## default class-map이 안뜨니까 2번째 CD-KEY를 복사해서 넣어준다. en conf t CD키 입력 do wr reload show version ## 전부 Active가 되고, Enable이 되어야 한다. (GTP/GPRS, AnyConnect Essentials 제외) show run ## default class-map이 보이게 된다. 만약 보이지 않는다면 아래의 명령어를 치고 다시 show run clear configure all show run ##policy-map과 class-map이 떴으면 이제부터 CiscoASA를 사용할 준비가 된 것이다.## Cisco 기존 방화벽 장비인 PIX가 단종되고, ASA가 사용된다. 최근에는 머라키(meriki) 라는 장비가 많이 보급되고 있다. ## Firewall 모드 ##* Firewall 모드는 다음과 같이 구분이 가능하다. ('show firewall' 명령어로 확인 가능 !!) 1) L3 방화벽 (Router mode) 2) L2 방화벽 (Transparent mode) * Router 모드에서 [Firewall transparent] 명령어를 사용하여 Transparent 모드로 변경이 가능하다. 반대로, [no firewall transparent] 명령어를 사용하여 다시 Router 모드로 변경할 수 있다. (모드 변경시 Password를 제외한 모든 설정은 초기화 된다.) Ciscoasa]conf t hostname ASA show firewall ## mode가 Router로 되어 있다. firewall transparent show firewall ## L2 방화벽이 되었다. password를 제외한 모든 설정이 초기화 된다. no firewall transparent show firewall ## 다시 Router가 되었다. hostname ASA * ASA의 Interface 설정은 Router와 거의 동일하다. 차이점은 [nameif] 명령어로 Interface마다 이름을 꼭 정의해야 하고, [security-level] 명령어로 보안 레벨을 정의해야 한다 !!! * [nameif] 명령어로 이름을 지정하지 않을 경우, 해당 Interface는 사용이 불가능하다. * 'Security-level'은 Interface마다 부여되고, level이 높은 Interface에서 낮은 Interface 방향으로 트래픽 전송이 허용된다. 그러나 반대로, level이 낮은 Interface에서 높은 방향으로의 트래픽 전송은 차단된다. * Security-level이 낮은 Interface에서 높은 방향으로 접근을 원하는 경우 관리자가 'Access-list'를 사용하여 접근을 허용해야만 한다. ASA]show route ## 기존 route의 'show ip route'와는 다른 사용법이다. show nameif ## 현재 사용할 수 있는 Interface가 없음을 나타낸다. show interface ip br ## 기존의 'show ip interface br' 과 명령어가 다름 ㅋㅋ 인터페이스의 개수 확인 가능 ## Interface를 사용하려면 ##ASA]conf t ## Gigabit 0번 ## <Inside> int g0 no shut nameif Inside security-level 100 desc ##Inside_Network## ## 위 인터페이스에 대한 부연설명을 준다. ip add 200.1.1.254 255.255.255.0 exit ## 이제부터 사용이 가능하다!! show int ip br ## G0이 'Up' 된 것을 확인할 수 있다. ## Gigabit 1번 ## <Outside> int g1 no shut nameif Outside security-level 0 desc ##Outside_Network## ip add 1.1.100.1 255.255.255.252 exit ## Gigabit 2번 ## <DMZ> int g2 no shut nameif DMZ security-level 50 desc ##DMZ_Network## ip add 100.1.1.254 255.255.255.0 exit ## 길 알려주기 ## route Inside 200.2.2.0 255.255.255.0 200.1.1.2 route Outside 0 0 1.1.100.2 ## default가 Outside쪽에 있으므로 그쪽으로 보내줘야한다. (0 0 == 0.0.0.0 0.0.0.0) ## Ping 날려보기 ##Win701]## ASA쪽으로 핑 ping 200.1.1.254 공통]en conf t no ip domain lookup line c 0 logg sy exec-timeout 0 exit line vty 0 4 pass cisco exit hostname ## CE]conf t int f0/0 no shut ip add 1.1.100.2 255.255.255.252 exit int f0/1 no shut ip add 1.1.100.5 255.255.255.252 exit ip route 100.1.1.0 255.255.255.0 f0/0 1.1.100.1 ip route 200.1.1.0 255.255.255.0 f0/0 1.1.100.1 ip route 200.2.2.0 255.255.255.0 f0/0 1.1.100.1 ip route 0.0.0.0 0.0.0.0 f0/1 1.1.100.6 end wr ISP]conf t int f0/0 no shut ip add 1.1.100.6 255.255.255.252 exit int f1/0 no shut ip add 2.2.2.254 255.255.255.0 exit int f0/1 no shut ip add dhcp mac-address 08ef.0001.0e8f ## GNS를 T껄 복사했으므로 MAC이 다 똑같을것이므로 아무걸로나 바꾼다. ## 그리고 바꿔주는 이유는 GNS3 맵 상에서 INTERNET은 교실의 Gateway인데, Gateweay에 우리들의 RAN 카드랑 브릿지 되어 있다. 그런데 만약 IP를 줄 때 '홍길동'이란 사람한테 IP를 줬는데 나중에 회수하려고 보니 '홍길동'이 그 반에 여러명이다. 그러기에 MAC 주소가 겹치면 안된다!! shut no shut exit ip route 0.0.0.0 0.0.0.0 f0/1 10.0.0.1 ip route 1.1.100.0 255.255.255.252 f0/0 1.1.100.5 ip route 100.1.1.0 255.255.255.0 f0/0 1.1.100.5 ip route 200.1.1.0 255.255.255.0 f0/0 1.1.100.5 ip route 200.2.2.0 255.255.255.0 f0/0 1.1.100.5 ## NAT ip access-list standard DMZ_Inside permit 100.1.1.0 0.0.0.255 permit 200.1.1.0 0.0.0.255 permit 200.2.2.0 0.0.0.255 permit 2.2.2.0 0.0.0.255 exit ## NAT를 엮기 ip nat inside source list DMZ_Inside int f0/1 overload int f0/0 ip nat inside exit int f1/0 ip nat inside exit int f0/1 ip nat out end wr DSW]conf t int lo0 no shut ip add 200.2.2.1 255.255.255.0 exit int f0/0 no shut ip add 200.1.1.2 255.255.255.0 exit ip route 0.0.0.0 0.0.0.0 f0/0 200.1.1.254 ## 게이트웨이로 핑 날려보기 ping 200.1.1.254 Win7, 2016, CentOS, Kali]ping 1.1.100.1 ping 100.1.1.254 ping 200.1.1.254 ## 다 잘 되어야 한다. ASA]show run ## Policy-map 수정 ##conf t policy-map global_policy class inspection_default inspect icmp ## Ping을 허용해주기. Win7]## 이제 Win701에서 Kali까지 Ping이 간다. ## 이름풀이도 잘 되어야 한다. ## 'NAVER'도 들어가져야 한다. ## ASA에서의 Telnet 허용 #### ASA (Adaptive Security Applicane) 1. Telent * TCP 23번 포트 사용 / 평문(Clear Text) * ASA의 경우 Security-level이 가장 낮은 Interface에서는 Telnet 접근이 불가능하다. ASA] - 텔넷 허용telnet 200.1.1.0 255.255.255.0 Inside telnet 100.1.1.0 255.255.255.0 DMZ telnet 1.1.100.2 255.255.255.255 Outside password cisco123 GNS3]tcp.port==23 Win701][CMD] - [telent 1.1.100.1] ## 접속이 된다. 와이어샤크에서도 확인!! CE]telnet 1.1.100.1 ## 100% 안된다!! ㅎㅎ 왜냐면 Security-level이 낮으니까...!! 아무리 Telnet을 허용해도 Security-level이 낮은쪽에서 높은쪽으로 안된다!! ## Win701에서는 Telnet이 되어야 하지만, CE에서는 안되어야 한다. Security-level 때문~ ## ASA는 여기까지 ## |