Firewall ASA 5505 Configurao Bsica

Posted under #Artigos by ricardo on Wednesday 31 August 2011 at 10:33

O firewall ASA 5505 um Appliance modular da famlia de firewalls 5500 da Cisco. Esta caixa oferece 8 placas de rede sendo 2 com portas PoE. Nativamente ela possui as seguintes caractersticas na licena based: - Suporte a 3DES / DES; Firewall Transparente Layer 2; Licena Based com Suporte a 2 Vlans IPsec VPN

Este produto recomendado para empresas de pequeno a mdio porte, que precisem de um gateway VPN ou para segurana de uma pequena parte da sua rede. Features da Licena Based (Exemplo via Interface Grafica ASDM)

Features da Licena Based (Exemplo via Interface Texto Acesso SSH)

Exemplo de configurao bsica

Configurao testada nas verses: ASA 8.2(3) Device Manager 6.3(4) ! Hostname hostname LabRDefault ! Dominio ao qual faz parte o Firewall domain-name rotadefault.com.br ! ! Criando Usuario Local com privilegio FULL (15) username labuser password ciscoadmin privilege 15 enable password ciscoadmin level 15 ! ! Definindo nome de hosts/redes name 192.168.1.0 rede_inside ! ! Habilitando acesso SSH para a vlan inside ssh version 2 ssh timeout 15 crypto key generate rsa ssh rede_inside 255.255.255.0 INSIDE ! ! Habilitando acesso ao ASDM para a vlan inside http server enable http rede_inside 255.255.255.0 inside ! ! Definindo Autenticao Local aaa authentication ssh console LOCAL aaa authentication enable console LOCAL aaa authentication http console LOCAL ! ! Ajustando o timezone do seu pais clock timezone BRST -3 ! ! Banner que ser exibido no login do usuario no firewall

banner exec =================================================================== banner exec VOCE ACABA DE ACESSAR UM EQUIPAMENTO MONITORADO. QUALQUER OPERACAO banner exec INADEQUADA ESTARA SUJEITA AS PENALIDADES PREVISTAS POR LEI. banner exec Equipe de Seguranca - Rota Default banner exec ================================================================== ! ! Configurando as interfaces do seu Firewall> interface Ethernet0/0 description outside switchport access vlan 2 ! interface Ethernet0/1 description INSIDE switchport access vlan 1 ! ! Criando as Vlans que devero ser associadas as interfaces interface Vlan1 description INSIDE nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 description OUTSIDE nameif outside security-level 0 ip address dhcp setroute ! ! Permitindo PING via interface inside icmp permit any inside ! ! ACL Permitindo Tracert / ping. object-group icmp-type portas_ping_tracert icmp-object echo icmp-object echo-reply icmp-object time-exceeded access-list rede_inside extended permit ip any any ! ! ACL / NAT (Nat control) para acesso a Internet da inside para a outside access-list rede_inside extended permit ip any any global (outside) 1 interface nat (inside) 1 access-list rede_inside ! ! Liberando acesso via SSH pela interface Outside (Acesso Remoto SSH) ssh 0.0.0.0 0.0.0.0 outside
As configuraes acima servem como base para uma ativao bsica de um firewall ASA, j prevendo alguns parmetros necessrios para administrao no dia a dia, lembrando que, algumas configuraes como acesso ssh via interface outside no recomendado, o exemplo demonstra nesse caso, apenas por questes de entendimento tcnico