방화벽 L2 모드 - banghwabyeog L2 modeu

ASA_Running config.txt

0.00MB

## ASA 세팅 ##

세팅 잘못하면 시작부터 끝까지 다 망가지는 스토리텔링 구조임 ㅎㅎ

## ASA 라이센스 Key ##

show version

## Unlimited, Active 가 나오면 된다.

show run

## default class-map이 안뜨니까 2번째 CD-KEY를 복사해서 넣어준다.

en

conf t

CD키 입력

do wr

reload

show version

## 전부 Active가 되고, Enable이 되어야 한다. (GTP/GPRS, AnyConnect Essentials 제외)

show run

## default class-map이 보이게 된다. 만약 보이지 않는다면 아래의 명령어를 치고 다시 show run

clear configure all

show run

##policy-map과 class-map이 떴으면 이제부터 CiscoASA를 사용할 준비가 된 것이다.

## Cisco 기존 방화벽 장비인 PIX가 단종되고, ASA가 사용된다.

    최근에는 머라키(meriki) 라는 장비가 많이 보급되고 있다.

## Firewall 모드 ##

* Firewall 모드는 다음과 같이 구분이 가능하다. ('show firewall' 명령어로 확인 가능 !!)

  1) L3 방화벽 (Router mode)

  2) L2 방화벽 (Transparent mode)

* Router 모드에서 [Firewall transparent] 명령어를 사용하여 Transparent 모드로 변경이 가능하다. 

  반대로, [no firewall transparent] 명령어를 사용하여 다시 Router 모드로 변경할 수 있다.

  (모드 변경시 Password를 제외한 모든 설정은 초기화 된다.)

Ciscoasa]

conf t

hostname ASA

show firewall

## mode가 Router로 되어 있다.

firewall transparent

show firewall

## L2 방화벽이 되었다. password를 제외한 모든 설정이 초기화 된다.

no firewall transparent

show firewall

## 다시 Router가 되었다.

hostname ASA         

* ASA의 Interface 설정은 Router와 거의 동일하다. 차이점은 [nameif] 명령어로 Interface마다 이름을 꼭 정의해야 하고,

  [security-level] 명령어로 보안 레벨을 정의해야 한다 !!!

* [nameif] 명령어로 이름을 지정하지 않을 경우, 해당 Interface는 사용이 불가능하다.

* 'Security-level'은 Interface마다 부여되고, level이 높은 Interface에서 낮은 Interface 방향으로 트래픽 전송이 허용된다.

  그러나 반대로, level이 낮은 Interface에서 높은 방향으로의 트래픽 전송은 차단된다.

* Security-level이 낮은 Interface에서 높은 방향으로 접근을 원하는 경우 관리자가 'Access-list'를 사용하여 접근을

  허용해야만 한다.

ASA]

show route

## 기존 route의 'show ip route'와는 다른 사용법이다.

show nameif

## 현재 사용할 수 있는 Interface가 없음을 나타낸다.

show interface ip br

## 기존의 'show ip interface br' 과 명령어가 다름 ㅋㅋ 인터페이스의 개수 확인 가능

## Interface를 사용하려면 ##

ASA]

conf t

## Gigabit 0번 ## <Inside>

int g0

  no shut

  nameif Inside

  security-level 100

  desc ##Inside_Network##

  ## 위 인터페이스에 대한 부연설명을 준다.

  ip add 200.1.1.254 255.255.255.0

  exit

  ## 이제부터 사용이 가능하다!!

show int ip br

## G0이 'Up' 된 것을 확인할 수 있다.

## Gigabit 1번 ## <Outside>

int g1

  no shut

  nameif Outside

  security-level 0

  desc ##Outside_Network##

  ip add 1.1.100.1 255.255.255.252

  exit

## Gigabit 2번 ## <DMZ>

int g2

  no shut

  nameif DMZ

  security-level 50

  desc ##DMZ_Network##

  ip add 100.1.1.254 255.255.255.0

  exit

## 길 알려주기 ##

route Inside 200.2.2.0 255.255.255.0 200.1.1.2

route Outside 0  0 1.1.100.2

## default가 Outside쪽에 있으므로 그쪽으로 보내줘야한다. (0  0 == 0.0.0.0  0.0.0.0)

## Ping 날려보기 ##

Win701]

## ASA쪽으로 핑

ping 200.1.1.254

공통]

en

conf t

no ip domain lookup

line c 0

  logg sy

  exec-timeout 0

  exit

line vty 0 4

  pass cisco

  exit

hostname ##

CE]

conf t

int f0/0

  no shut

  ip add 1.1.100.2 255.255.255.252

  exit

int f0/1

  no shut

  ip add 1.1.100.5 255.255.255.252

  exit

ip route 100.1.1.0 255.255.255.0 f0/0 1.1.100.1

ip route 200.1.1.0 255.255.255.0 f0/0 1.1.100.1

ip route 200.2.2.0 255.255.255.0 f0/0 1.1.100.1

ip route 0.0.0.0  0.0.0.0 f0/1 1.1.100.6

end

wr

ISP]

conf t

int f0/0

  no shut

  ip add 1.1.100.6 255.255.255.252

  exit

int f1/0

  no shut

  ip add 2.2.2.254 255.255.255.0

  exit

int f0/1

  no shut

  ip add dhcp

  mac-address 08ef.0001.0e8f         ## GNS를 T껄 복사했으므로 MAC이 다 똑같을것이므로 아무걸로나 바꾼다.

                                               ## 그리고 바꿔주는 이유는 GNS3 맵 상에서 INTERNET은 교실의 Gateway인데,                                                      Gateweay에 우리들의 RAN 카드랑 브릿지 되어 있다. 그런데 만약 IP를 줄 때

                                                   '홍길동'이란 사람한테 IP를 줬는데 나중에 회수하려고 보니 '홍길동'이 그 반에

                                                   여러명이다. 그러기에 MAC 주소가 겹치면 안된다!!                                      

  shut

  no shut

  exit

ip route 0.0.0.0  0.0.0.0 f0/1 10.0.0.1

ip route 1.1.100.0 255.255.255.252 f0/0 1.1.100.5

ip route 100.1.1.0 255.255.255.0 f0/0 1.1.100.5

ip route 200.1.1.0 255.255.255.0 f0/0 1.1.100.5

ip route 200.2.2.0 255.255.255.0 f0/0 1.1.100.5

## NAT

ip access-list standard DMZ_Inside

  permit 100.1.1.0 0.0.0.255

  permit 200.1.1.0 0.0.0.255

  permit 200.2.2.0 0.0.0.255

  permit 2.2.2.0 0.0.0.255

  exit

## NAT를 엮기

ip nat inside source list DMZ_Inside int f0/1 overload

int f0/0

  ip nat inside

  exit

int f1/0

  ip nat inside

  exit

int f0/1

  ip nat out

  end

wr

DSW]

conf t

int lo0

  no shut

  ip add 200.2.2.1 255.255.255.0

  exit

int f0/0

  no shut

  ip add 200.1.1.2 255.255.255.0

  exit

ip route 0.0.0.0  0.0.0.0 f0/0 200.1.1.254

## 게이트웨이로 핑 날려보기

ping 200.1.1.254

Win7, 2016, CentOS, Kali]

ping 1.1.100.1

ping 100.1.1.254

ping 200.1.1.254

## 다 잘 되어야 한다.

ASA]

show run

## Policy-map 수정 ##

conf t

policy-map global_policy

  class inspection_default

    inspect icmp                        ## Ping을 허용해주기.

Win7]

## 이제 Win701에서 Kali까지 Ping이 간다.

## 이름풀이도 잘 되어야 한다.

## 'NAVER'도 들어가져야 한다.

## ASA에서의 Telnet 허용 ##

## ASA (Adaptive Security Applicane)

1. Telent

  * TCP 23번 포트 사용 / 평문(Clear Text)

  * ASA의 경우 Security-level이 가장 낮은 Interface에서는 Telnet 접근이 불가능하다.

ASA] - 텔넷 허용

telnet 200.1.1.0 255.255.255.0 Inside

telnet 100.1.1.0 255.255.255.0 DMZ

telnet 1.1.100.2 255.255.255.255 Outside

password cisco123

GNS3]

tcp.port==23

Win701]

[CMD] - [telent 1.1.100.1]

## 접속이 된다. 와이어샤크에서도 확인!!

CE]

telnet 1.1.100.1

## 100% 안된다!! ㅎㅎ 왜냐면 Security-level이 낮으니까...!!

아무리 Telnet을 허용해도 Security-level이 낮은쪽에서 높은쪽으로 안된다!!

## Win701에서는 Telnet이 되어야 하지만, CE에서는 안되어야 한다. Security-level 때문~

## ASA는 여기까지 ##